来自于CVE-2017-11882的故事
故事起源:一场一年一度的虚拟与现实战争演练
故事时间轴:在2020年7月的某一天
主角:小王或者y@n1n
时间主线:
小王参加了2020年度的“虚拟与现实的网络攻击战争”,在战争当中小王立下首功,帮助战友第一时间取得战争根据地,在持久化根据地的基础上,顺利拿下本场战斗的最终胜利。
前情提要:
小王在“虚拟与现实的网络攻击战争”开始之际,在第一时间发起针对防御堡垒的进攻,时间一分一秒的过去,在敌方严防死守之下,终于通过一名进入敌方堡垒的士兵身上找到突破口。
小王在战后回忆录中描述,本文由:<长连接安全实验室>笔录并收集转载。
小王在尝试通过web水坑、App漏洞、无线攻击、鱼叉攻击、社会工程,等攻击手段后,在鱼叉攻击的辅助下终于撕破战争缺口,以下是鱼叉攻击所利用的漏洞详情。
漏洞简介
2017年11月14日,微软发布了11月份的安全补丁更新,其中比较引人关注的莫过于悄然修复了潜伏17年之久的Office远程代码执行漏洞(CVE-2017-11882)。该漏洞为Office内存破坏漏洞,影响目前流行的所有Office版本。攻击者可以利用漏洞以当前登录的用户的身份执行任意命令。由于漏洞影响面较广,漏洞披露后,金睛安全研究团队持续对漏洞相关攻击事件进行关注。11月19日,监控到了已有漏洞POC在网上流传,随即迅速对相关样本进行了分析。目前该样本全球仅微软杀毒可以检测。
漏洞影响
MicrosoftOffice 2000
MicrosoftOffice 2003
MicrosoftOffice 2007 Service Pack 3
MicrosoftOffice 2010 Service Pack 2
MicrosoftOffice 2013 Service Pack 1
MicrosoftOffice 2016
漏洞利用
- win7 ip:192.168.233.243
- kail ip:192.168.233.241
- office 2003
漏洞复现
1.msf搜索hta_server模块
2.进行设置
3.攻击
4.在kali上生成带有恶意命令的doc
5.在靶机上打开test.doc文档 切换回kail
反弹成功
在战后,小王给出了解决方案
1.下载微软对此漏洞补丁:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11882,并且开启自动更新功能
2.在注册表中禁用该漏洞模块
reg add
"HKLM\SOFTWARE\Microsoft\Office\XX.X\Common\COM Compatibility\{0002CE02-0000-0000-C000-000000000046}" /v "Compatibility Flags" /t REG_DWORD /d 0x400
reg add
"HKLM\SOFTWARE\Wow6432Node\Microsoft\Office\XX.X\Common\COM Compatibility\{0002CE02-0000-0000-C000-000000000046}" /v "Compatibility Flags" /t REG_DWORD/d 0x400
原重现
长连接安全实验室招聘
http://connectseclab.com/daaec7912dcdca1b