来自于CVE-2017-11882的故事

故事起源：一场一年一度的虚拟与现实战争演练

 

故事时间轴：在2020年7月的某一天

 

主角：小王或者y@n1n

 

时间主线：

小王参加了2020年度的“虚拟与现实的网络攻击战争”，在战争当中小王立下首功，帮助战友第一时间取得战争根据地，在持久化根据地的基础上，顺利拿下本场战斗的最终胜利。

 

前情提要：

小王在“虚拟与现实的网络攻击战争”开始之际，在第一时间发起针对防御堡垒的进攻，时间一分一秒的过去，在敌方严防死守之下，终于通过一名进入敌方堡垒的士兵身上找到突破口。

 

小王在战后回忆录中描述，本文由：<长连接安全实验室>笔录并收集转载。

 

小王在尝试通过web水坑、App漏洞、无线攻击、鱼叉攻击、社会工程，等攻击手段后，在鱼叉攻击的辅助下终于撕破战争缺口，以下是鱼叉攻击所利用的漏洞详情。

漏洞简介

2017年11月14日，微软发布了11月份的安全补丁更新，其中比较引人关注的莫过于悄然修复了潜伏17年之久的Office远程代码执行漏洞（CVE-2017-11882）。该漏洞为Office内存破坏漏洞，影响目前流行的所有Office版本。攻击者可以利用漏洞以当前登录的用户的身份执行任意命令。由于漏洞影响面较广，漏洞披露后，金睛安全研究团队持续对漏洞相关攻击事件进行关注。11月19日，监控到了已有漏洞POC在网上流传，随即迅速对相关样本进行了分析。目前该样本全球仅微软杀毒可以检测。

 

漏洞影响

 

MicrosoftOffice 2000

MicrosoftOffice 2003

MicrosoftOffice 2007 Service Pack 3

MicrosoftOffice 2010 Service Pack 2

MicrosoftOffice 2013 Service Pack 1

MicrosoftOffice 2016

 

漏洞利用

 

• win7 ip:192.168.233.243
• kail ip:192.168.233.241
• office 2003

漏洞复现

1.msf搜索hta_server模块   

 

 

 2.进行设置

 

 

 

 

 

 

3.攻击

 

 

4.在kali上生成带有恶意命令的doc

 

 

5.在靶机上打开test.doc文档 切换回kail

 

•  

反弹成功

•  

 

 

 

在战后，小王给出了解决方案

 

1.下载微软对此漏洞补丁：https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11882，并且开启自动更新功能

2.在注册表中禁用该漏洞模块

reg add

"HKLM\SOFTWARE\Microsoft\Office\XX.X\Common\COM Compatibility\{0002CE02-0000-0000-C000-000000000046}" /v "Compatibility Flags" /t REG_DWORD /d 0x400

reg add

"HKLM\SOFTWARE\Wow6432Node\Microsoft\Office\XX.X\Common\COM Compatibility\{0002CE02-0000-0000-C000-000000000046}" /v "Compatibility Flags" /t REG_DWORD/d 0x400

原重现

长连接安全实验室招聘

 

http://connectseclab.com/daaec7912dcdca1b