Office CVE-2017-8570远程代码执行漏洞复现

CVE-2017-8570漏洞是一个逻辑漏洞,利用方法简单,影响范围广。由于该漏洞和三年前的SandWorm(沙虫)漏洞非常类似,因此我们称之为“沙虫”二代漏洞。

编号

CVE-2017-8570

影响版本

Microsoft Office 2007 Service Pack 3
Microsoft Office 2010 Service Pack 2 (32-bit editions)
Microsoft Office 2010 Service Pack 2 (64-bit editions)
Microsoft Office 2013 RT Service Pack 1
Microsoft Office 2013 Service Pack 1 (32-bit editions)
Microsoft Office 2013 Service Pack 1 (64-bit editions)
Microsoft Office 2016 (32-bit edition)
Microsoft Office 2016 (64-bit edition)

危害

2017年7月,微软在例行的月度补丁中修复了多个Microsoft Office漏洞,其中的CVE-2017-8570漏洞为一个逻辑漏洞,利用方法简单。网上已经出现该漏洞的利用代码,影响范围较广。

该漏洞为Microsoft Office的一个远程代码执行漏洞。其成因是Microsoft PowerPoint执行时会初始化Script”Moniker对象,而在PowerPoint播放动画期间会激活该对象,从而执行sct脚本(Windows Script Component)文件。攻击者可以欺骗用户运行含有该漏洞的PPT文件,导致获取和当前登录用户相同的代码执行权限。

复现环境

受害者(靶机)

操作系统: windows 7 sp1 x86 Office版本:Office 专业增强版 2016 ip:10.0.0.116

攻击者

操作系统:Deepin 15.4.1 metasploit版本:v4.14.28-dev ip:10.0.0.103

exp

原作者的github链接挂了,暂时就放在了我的github里面: https://github.com/tezukanice/Office8570.git

生成恶意文件

生成恶意PPSX文件

这里的10.0.0.103是攻击者的ip地址

生成反弹shell 的 exe 文件

LHOST是攻击者的ip,LPORT这里设置的是监听本机的6666端口

这里注意 当攻击目标为64位的操作系统的时候,生成的exe得改为:

监听会话

监听来自 ppsx 执行反弹 shell

一开始我这边由于没有切换到root用户导致 权限被拒绝,su切换到root用户解决问题。

msf 的监听

同样,这里攻击64位操作系统的时候,得做出如下的调整:

钓鱼攻击

将生成的恶意 Invoice.ppsx 文件重命名为:2017showgirl联系方式.ppsx 复制到目标靶机 windows7系统。

然后目标一不小心点开了这个ppt文件的时候:即可在 MSF 反弹 metertprter 的 shell 出来:

后续渗透

截图

正在看b站小姐姐视频~~

键盘记录

可以看到win7的主人在搜狗浏览器中输入了如下内容:xiao jie jie chinajoy这里面的<^H> 是删除键 是 回车键

上传文件

把我们的友情提示上传到win7系统主人的 电脑桌面上

shell

shell 顾名思义就是shell了,这个命令相当于完全控制了windows的cmd命令行,可以执行任意cmd操作,当然只要权限足够大的话。

漏洞修复

及时安装微软2017年7月发布的最新补丁

经得住诱惑,不打开来历不明的office文件如果没有打补丁的话,其实还有一直比较稳妥的打开PPT的方法,就是 不用 双击 打开PPT,打开PPT直接拖动打开 是不会触发运行exe程序的:如下图:

结束语

关于这个漏洞复现,youtube上面已经有一些复现案例了,大家可以去参考学习一下。这篇文章我直接参考的是 backlion 的文章,原标题是:Office CVE-2017-8570 远程代码执行漏洞复现,然后在此基础上做了些补充,更加小白化一些,希望可以让小白们轻松地入门metasploit。

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2017-08-15

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏walterlv - 吕毅的博客

自动将 NuGet 包的引用方式从 packages.config 升级为 PackageReference

发布于 2018-04-24 10:03 更新于 2018-06...

19320
来自专栏GuZhenYin

Asp.net Core中SignalR Core预览版的一些新特性前瞻,附源码(消息订阅与发送二进制数据)

前言 一晃一个月又过去了,上个月有个比较大的项目要验收上线.所以忙的脚不沾地.现在终于可以忙里偷闲,写一篇关于SignalR Core的文章了. 先介绍一下Si...

39690
来自专栏hbbliyong

常用工具整理

代码编辑 Cmd Markdown 免费在线Markdown编辑器,一直再用,很不错。 ? Cmd Markdown下载地址:X86 | X64 反编译...

524100
来自专栏IT米粉

我的Markdown的利器——Markdown Here、有道云笔记、iPic

Markdown逐渐成为大家文章编辑的首选,这里推荐两个比较冷门的Markdown工具。 用什么当做Markdown的主力工具? 网上有很多人推荐的Markdo...

36440
来自专栏FreeBuf

乌龙的CVE-2017-8570样本及背后的狗血

所谓的CVE-2017-8570样本 上周360天眼实验室发现了有国外黑客在Github上发布了CVE-2017-8570漏洞的利用代码,但随即删除,以此之后发...

37550
来自专栏c#开发者

WCF,Net remoting,Web service

今天看到WCF,说是整合了Net remoting,Web service。。。下面列一下概念。 一 WCF 概括地说,WCF具有如下的优势:    ...

33550
来自专栏walterlv - 吕毅的博客

使用 Postman 调试 ASP.NET Core 开发的 API

发布于 2018-09-09 12:38 更新于 2018-09...

1K30
来自专栏大内老A

“前.NET Core时代”如何实现跨平台代码重用 ——源文件重用

微软在2002年推出了第一个版本的 .NET Framework,这是一个主要面向Windows 桌面(Windows Forms)和服务器(ASP.NET W...

22760
来自专栏施炯的IoT开发专栏

Windows Phone App Studio发布重要更新-支持Windows 8.1 源代码生成

    自2013年8月Apps Team发布Windows Phone App Studio以来,由于其低入门门槛和较好的易用性,用户和项目数量增长迅速,从W...

41950
来自专栏小白课代表

编程 | VC++ 6.0 (WIN10可用)安装教程

45630

扫码关注云+社区

领取腾讯云代金券