独家！隐藏17年的Office高危漏洞复现（CVE-2017-11882）

漏洞位于EQNEDT32.EXE组件中，该组件于2001年编译嵌入office，之后没有任何进一步的修改。攻击者可以利用漏洞以当前登录的用户身份执行任意命令。接下来，ISEC实验室的老师，将对此漏洞利用过程进行复现，小伙伴们，快上车啦!

一、CVE-2017-11882复现

实验环境：

攻击机器操作系统：kali 2.0

攻击机器ip：192.168.1.106

受害者操作系统：win7 x64

受害者ip：192.168.1.6

offcie版本：office_professional_plus_2013_with_sp1_x64

1、首先在kali下使用msf生成后门文件，类型为msi格式，如下图：

2、将该后门p.exe放到web目录下，同时在web目录下新建hta文件，通过调用Wscript.Shell执行msiexec去运行远程的p.exe，即上一步生成的后门文件，注意msiexec只能执行msi文件，因此在上一步生成的文件类型一定要是msi类型的，至于后缀名无所谓，hta文件如下图：

3、到https://github.com/Ridter/CVE-2017-11882/下载漏洞利用程序，执行如下命令生成恶意doc文件，这里由于命令长度不能超过43 bytes，因此使用mshta命令去调用远程的hta文件来执行更复杂的操作，如下图：

4、在msf中使用exploit/multi/handler模块，并设置相应payload参数开启监听，如下图：

5、在测试机器上使用offcie打开该文档，如下图：

6、成功返回session，如下图：

7、由于很多时候需要植入的后门文件类型为exe可执行文件，而非msi格式，例如使用RAT进行测试的时候，生成的后门多为exe，因此可以采用exe转msi方式来实现，例如下图的工具可以将exe可执行文件成功转换为msi文件：

8、当然这里我们也可以采用powershell方式去下载远程后门来执行，而不采用msiexec方式来执行，这样就不不需要对exe可执行文件进行转换了，修改后的hta文件如下：

9、最后执行流程如下，首先由mshta调用powershell，再由powershell调用木马程序server.exe：

10、后门成功上线

二、提醒：请尽快更新相应补丁

Microsoft Office内存破坏漏洞CVE-2017-11882 PoC目前已公开，ISEC实验室建议用户尽快更新相应补丁，同时开启系统安全软件进行防护。