新闻中心

来自于CVE-2017-11882的故事

创建时间:2020-05-11 17:20:00

故事起源:一场一年一度的虚拟与现实战争演练

 

故事时间轴:20207月的某一天

 

主角:小王或者y@n1n

 

时间主线:

小王参加了2020年度的虚拟与现实的网络攻击战争,在战争当中小王立下首功,帮助战友第一时间取得战争根据地,在持久化根据地的基础上,顺利拿下本场战斗的最终胜利。

 

前情提要:

小王在虚拟与现实的网络攻击战争开始之际,在第一时间发起针对防御堡垒的进攻,时间一分一秒的过去,在敌方严防死守之下,终于通过一名进入敌方堡垒的士兵身上找到突破口。

 

小王在战后回忆录中描述,本文由:<长连接安全实验室>笔录并收集转载。

 

小王在尝试通过web水坑、App漏洞、无线攻击、鱼叉攻击、社会工程,等攻击手段后,在鱼叉攻击的辅助下终于撕破战争缺口,以下是鱼叉攻击所利用的漏洞详情。

漏洞简介

20171114日,微软发布了11月份的安全补丁更新,其中比较引人关注的莫过于悄然修复了潜伏17年之久的Office远程代码执行漏洞(CVE-2017-11882)。该漏洞为Office内存破坏漏洞,影响目前流行的所有Office版本。攻击者可以利用漏洞以当前登录的用户的身份执行任意命令。由于漏洞影响面较广,漏洞披露后,金睛安全研究团队持续对漏洞相关攻击事件进行关注。1119日,监控到了已有漏洞POC在网上流传,随即迅速对相关样本进行了分析。目前该样本全球仅微软杀毒可以检测。

 

漏洞影响

 

MicrosoftOffice 2000

MicrosoftOffice 2003

MicrosoftOffice 2007 Service Pack 3

MicrosoftOffice 2010 Service Pack 2

MicrosoftOffice 2013 Service Pack 1

MicrosoftOffice 2016

 

漏洞利用

 

  • win7 ip:192.168.233.243
  • kail ip:192.168.233.241
  • office 2003

漏洞复现

1.msf搜索hta_server模块   

 

 

 2.进行设置

 

 

 

 

 

 

3.攻击

 

 

4.kali上生成带有恶意命令的doc

 

 

5.在靶机上打开test.doc文档 切换回kail

 

  •  

反弹成功

  •  

 

 

 

在战后,小王给出了解决方案

 

1.下载微软对此漏洞补丁:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11882,并且开启自动更新功能

2.在注册表中禁用该漏洞模块

reg add

"HKLM\SOFTWARE\Microsoft\Office\XX.X\Common\COM Compatibility\{0002CE02-0000-0000-C000-000000000046}" /v "Compatibility Flags" /t REG_DWORD /d 0x400

reg add

"HKLM\SOFTWARE\Wow6432Node\Microsoft\Office\XX.X\Common\COM Compatibility\{0002CE02-0000-0000-C000-000000000046}" /v "Compatibility Flags" /t REG_DWORD/d 0x400

原重现

长连接安全实验室招聘

 

http://connectseclab.com/daaec7912dcdca1b

上一篇

这里有最新的公司动态,这里有最新的网站设计、移动端设计、网页相关内容与你分享

下一篇

首页    来自于CVE-2017-11882的故事
浏览量:0