微软office远程代码执行漏洞(CVE-2017-11882)复现

最新推荐文章于 2024-08-14 11:25:28 发布
最新推荐文章于 2024-08-14 11:25:28 发布
阅读量2.1k 收藏 7
点赞数
分类专栏: bug 文章标签: metasploit 任意代码执行 CVE-2017-11882
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/GUINEW/article/details/78650700
版权

微软office远程代码执行漏洞(CVE-2017-11882)复现

 

免责声明:本文仅用于信息安全测试,切勿触犯网络安全法。

 

漏洞介绍:

 

参考:http://www.cnvd.org.cn/flaw/show/CNVD-2017-34031

 

 

漏洞影响版本:

 

Office 365    

Microsoft Office 2003      

Microsoft Office 2007 Service Pack 3

Microsoft Office 2010 Service Pack 2

Microsoft Office 2013 Service Pack 1

Microsoft Office 2016

 

原理:

office中编辑公式编辑器时,公式编辑器作为单独的进程,不受WINWORD.EXE, EXCEL.EXE等进程保护机制保护。

公式编辑器equation.exe

 

打开公式编辑器后任务管理器增加进程

 

原理请参见

http://www.freebuf.com/vuls/154462.html

 

本文将在两款非常热门的渗透框架metasploit-framework koadic上复现该漏洞

一、Metasploit-framework上的复现

复现过程:

攻击机: kali linux x64 ip:10.10.10.128

目标机windows 7 sp1 IP:10.10.10.154

Office版本:Office 2010

 

用的脚本是starnightcyberrubypython脚本:

https://github.com/starnightcyber/CVE-2017-11882

1.配置参数(svrhost uripath)

 

 

 

2.成功生成doc文件

 

3.目标机上双击打开doc

 

4.成功回连meterpreter

 

 

二、koadic上的复现

msf上的较为类似就直接上图了

 

 

 

双击打开回连成功

 


缓解措施

 

windows的注册表取消这个模块的注册或更新微软11.14日的补丁。


GUINEW
关注
专栏目录
[系统安全] 十.Windows漏洞利用之SMBv3服务远程代码执行漏洞CVE-2020-0796)及防御详解
杨秀璋的专栏
12-30 5113
系统安全系列作者将深入研究恶意样本分析、逆向分析、攻防实战和Windows漏洞利用等,通过在线笔记和实践操作的形式分享与博友们学习,希望能与您一起进步。前文介绍了MS08-067远程代码执行漏洞CVE-2008-4250),它是Windows Server服务RPC请求缓冲区溢出漏洞,利用445端口。这篇文章将详细讲解SMBv3服务远程代码执行漏洞CVE-2020-0796),攻击者可能利用此漏洞远程无需用户验证,通过发送构造特殊的恶意数据导致在目标系统上执行恶意代码,从而获取机器的完全控制,利用的端口
CVE-2017-11882漏洞分析报告
黑夜黎明
05-17 1388
漏洞简介: 软件名称及版本:Microsoft Office2016以下 漏洞模块:EQNEDT32.EXE 漏洞编号:CVE-2017-11882 危害等级:高危 漏洞类型:缓冲区溢出 威胁类型:远程 软件简介:    Microsoft Office微软公司针对Windows操作系统所推出的办公室套装软件,漏洞出现在EQNEDT32.EXE模块中,在Office的安装过程中被默认安装。当插入...
Office CVE-2017-8570远程代码执行漏洞复现
脚本姑娘
01-12 1374
漏洞影响版本 很尴尬,此页无图 Microsoft Office 2007 Service Pack 3 Microsoft Office 2010 Service Pack 2 (32-bit editions) Microsoft Office 2010 Service Pack 2 (64-bit editions) Microsoft Office 201
office漏洞 (CVE-2017-11882)复现
芥子
01-25 3729
在/usr/share/metasploit-framework/modules/exploits/windows/smb上传 cve_2017_1182.rb 在/usr/share/metasploit-framework/data/exploits上传cve-2017-1182.rtf文件 以上的文件准备好后即可用msf来进行操作 在搜索模块的时候出现以下错误
远程代码执行漏洞
最新发布
2201_75572825的博客
08-14 914
远程代码执行(remote code execution)简称RCE,由于应用程序在调用一些能够将字符串转换为代码的函数(如PHP中的eval)时,没有考虑用户是否控制这个字符串,则会导致代码执行漏洞的发生Webshell能够执行代码,本质上就是利用了代码执行的函数代码执行相关函数:PHP: eval、assert、preg_replace()、+/e模式(PHP版本
Office远程代码执行漏洞CVE-2017-11882漏洞复现
大河之犬的博客
06-26 1961
CVE-2017-11882允许攻击者在当前用户的上下文中运行任意代码,导致无法正确处理内存中的对象,即为“ Microsoft Office Memory Corruption Vulnerability “,栈溢出的远程执行漏洞。它的功能是打开office文本的同时能够弹出计算机程序,本实验通过此文本验证目标靶机上是否存在Office远程代码执行漏洞CVE-2017-11882漏洞。可以看到以下变化:ftp服务器启动。在靶机桌面上可以看到上步ftp上传的文件的文件,双击打开此文件,即可建立连接了。
漏洞复现】Microsoft Office MSDT 远程代码执行漏洞CVE-2022-30190)
qq_17754023的博客
06-03 4819
0x01 Microsoft OfficeMicrosoft Office是由Microsoft(微软)公司开发的一套办公软件套装。常用组件有 Word、Excel、PowerPoint等。0x02 漏洞简介该文档使用 Word 远程模板功能从远程网络服务器检索 HTML 文件,该服务器使用 ms-msdt MSProtocol URI 方案加载代码执行 PowerShell,禁用宏,仍能通过MSDT功能执行代码(恶意 Word 文档通常用于通过宏执行代码)。......
Struts2-057远程代码执行漏洞预警
煜铭2011
08-22 8899
0x00 前言 Apache Struts是美国阿帕奇(Apache)软件基金会负责维护的一个开源项目,是一套用于创建企业级Java Web 应用的开源MVC框架,主要提供两个版本框架产品: Struts 1和Struts 2。 Struts2是一个基于MVC设计模式的Web应用框架,它本质上相当于一个servlet,在MVC设计模式中,Struts2作为控制器(Cont...
Office 远程代码执行漏洞CVE-2017-11882复现过程
GitChat
04-12 1378
昨天朋友问到我,有搞诈骗的加他 QQ 冒充财务要求转账,该怎么治,我说很简单,绑远控就行了。 于是针对该怎么治诈骗,让文件看起来安全又无害。EXE 可能不会上当,那么 Doc 呢?一份财务对账表?我们深入交流了一下,用了最近不久的 Office 远程代码漏洞,也称 Office 内存破坏漏洞,编号为「CVE-2017-11882」,并且已经成功拿到物理机的 Shell。 于是就有了这篇文章,这篇文...
CVE-2017-0199漏洞复现与研究
空旷在远方
09-22 6952
1引言 1.1微软office漏洞背景 微软Office系统软件(Word/Excel/PowerPoint等),一直是电脑上最为常用的办公软件之一,在国内外都拥有大量的用户。另一方面,利用Office系列软件的漏洞进行网络攻击已经成为黑客惯用的手段,广泛运用于APT攻击,抓肉鸡,传播勒索病毒等。其中一种典型的攻击方式是“鱼叉攻击”:黑客将包含漏洞的文档伪装成为一个正常的Office文档,并精心构...
.NET Framework漏洞(CVE-2017-8759)复现及后续渗透
sanc7ane的博客
02-25 7339
参考:!bhdresh 简介 CVE-2017-8759是一个新型的Office文档高级威胁攻击漏洞,该漏洞允许恶意人士在解析SOAP WSDL的定义内容期间注入任意代码。FireEye公司对该微软Office文档进行了分析,并发现攻击者能够利用代码注入方式下载并执行一份包含PowerShell指令的Visual Basic脚本。黑客在Offcie文档中嵌入新的Moniker对象,利用的是.net...
CVE-2017-8570漏洞复现与研究
空旷在远方
09-22 3290
CVE-2017-8570漏洞复现与研究 ——2018.7.2   目  录 1引言     1.1微软office漏洞背景 1.2 CVE-2017-8570简介 1.3 office适用版本 2原理简单分析 2.1漏洞原理简单分析 2.2漏洞原理简单图解 2.3相关知识介绍 2.3.1 ppsx介绍 2.3.2 exp介绍 3利用复现过程 3.1环境搭建 3.1...
Microsoft OfficeCVE-2017-11882CVE-2022-30190) 漏洞复现
oiadkt的博客
04-23 629
Microsoft OfficeCVE-2017-11882CVE-2022-30190) 漏洞复现
Microsoft Office MSDT代码执行漏洞CVE-2022-30190)漏洞复现
网安君的博客
06-01 2865
漏洞首次发现在2022 年 5 月 27 日,由白俄罗斯的一个 IP 地址上传。恶意文档从 Word 远程模板功能从远程 Web 服务器检索 HTML 文件,通过 ms-msdt MSProtocol URI方法来执行恶意PowerShell代码。感染过程利用 Windows 程序 msdt.exe,该程序用于运行各种 Windows 疑难解答程序包。此工具的恶意文档无需用户交互即可调用它。导致在宏被禁用的情况下,恶意文档依旧可以使用 ‘ms-msdt’ URI执行任意PowerShell代码。目前已知影
office漏洞汇总
好好学习,天天向上
03-06 239
https://www.cnblogs.com/diligenceday/p/7898839.htmlhttps://cloud.tencent.com/developer/news/200097 CVE-2017-11882 https://blog.csdn.net/darkhq/article/details/79134981 CVE-2018-0802 噩梦公式二代复现https://ww...
Office CVE-2017-8570漏洞复现
weixin_44283446的博客
12-20 2107
Office CVE-2017-8570漏洞复现说明描述漏洞影响版本环境说明漏洞复现参考 说明 本文仅供学习使用 描述 2017年7月,微软在例行的阅读补丁中修复了多个Microsoft Office漏洞,其中的CVE-2017-8570漏洞为一个逻辑漏洞。网上公布了利用代码,影响范围广泛。该漏洞为Microsoft Office的一个远程代码执行漏洞。其成因是Microsof PowerPoint执行时会初始化“script”Moniker对象,而在PowerPoint播放动画期间会激活该对象,从而
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值