CVE-2017-11882 Office漏洞

最新推荐文章于 2022-12-21 10:00:00 发布
最新推荐文章于 2022-12-21 10:00:00 发布
阅读量883 收藏 1
点赞数
分类专栏: 漏洞复现 分析 检测
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/sxr__nc/article/details/104846369
版权

简介

CVE-2017-11882属于缓冲区溢出类型漏洞,造成漏洞的原因是,EQNEDT32.EXE(微软office自带公式编辑器)进程在读入包含MathType的ole数据时,在拷贝公式字体名称(Font Name数据)时没有对名称长度进行校验,导致缓冲区溢出。通过覆盖函数的返回地址,可执行任意代码。
深究其中的具体原因还要对ole文件的数据格式以及EQNEDT32.EXE的文件格式进行了解:

ole文件

首先我们需要了解的是什么是OLE,OLE代表的是链接与嵌入(Object Linking and Embedding),用我们日常得话来讲,就是用户在使用Office文档的过程中的一些数据的插入,可以是图片音乐之类的。而且需要注意的是OLE对象是基于COM组件的,也就是说OLE是一个COM组件的子集。这也就导致了在带来极大便利的同时,也给黑客带来了可乘之机,事实上Office的很多0day漏洞也都是由于OLE对象引起或者是基于对OLE对象的利用导致的。抛开题外话不谈,我们专注于这个漏洞。
事实上,不同的文件格式会使用不同版本的OLE文件格式:
OLE格式的结构一共有两种:OLE1.0和OLE2.0 详细情况可以参考微软的官方文档:

了解本专栏 订阅专栏 解锁全文 超级会员免费看
CVE-2017-11882
weixin_44932880的博客
01-16 1851
CVE-2017-11882 CVE-2017-11882是微软公布的一个远程执行漏洞office2017具有该漏洞。该漏洞的成因是EQNEDT32.EXE进程在读入包含MathType的ole数据时,在拷贝公式字体名称时没有对名称长度进行校验,从而造成栈缓冲区溢出,是一个非常经典的栈溢出漏洞。 调试环境 windows7_sp1(有这个sp1才能安装vmtools) office 2007 x86 olldbg ida 先ida找到漏洞出现的地方 通过od动态调试查看出拷贝的是一个字符串”T
CVE-2017-11882漏洞分析与利用
qq_36949907的博客
07-10 1753
(一次大作业,比较啰嗦 见谅) 漏洞介绍 2017年11月14号,微软推送了常规的安全更新,其中就包括CVE-2017-11882的安全更新,当时还引起了不小的关注,之后Github上也公布了许多POC及对应的漏洞利用程序。 仅仅从CVE-2017-11882漏洞利用效果来看,它可以通杀Office 2003到Office 2016的所有版本,并且整个攻击环境的构建非常简单,效果又非常的好。例如,有些攻击效果会出现弹框、CPU飙高、发生异常等等,而这个漏洞的利用效果,堪称“无色无味”,即整个过程几.
漏洞分析之CVE-2017-11882
airuihuan5211的博客
11-26 387
漏洞分析之 CVE-2017-11882 目录 漏洞分析之 CVE-2017-11882目录☛ 漏洞介绍☛ 漏洞分析☛ 1.漏洞分析环境与工具☛ 2.获取 Poc[点击????]☛ 3.复现漏洞☛ 4.分析漏洞☛ 5.漏洞利用☛ 6.利用漏洞2☛ 总结☛ 参考资料完成时间:2018-10-23 10:24:05 星期二 ☛ 漏洞介绍 安全公司Embedi最早报告了漏洞,其出现在...
CVE-2017-11882漏洞分析
鬼手的博客
08-05 9869
文章目录分析环境漏洞描述漏洞成因漏洞分析获取poc复现漏洞漏洞分析定位漏洞模块定位漏洞函数定位漏洞触发点解决方案 分析环境 **环境:**W7 x64 Office2013 **工具:**windbg IDA Pro 漏洞描述 CVE-2017-11882是微软公布的一个远程执行漏洞,通杀目前市面上的所有office版本及Windows操作系统(包括刚刚停止支持的Office 2007)。该漏...
CVE-2017-11882:Office内存破坏漏洞
Fly_鹏程万里
08-26 687
影响范围 MicrosoftOffice 2000 MicrosoftOffice 2003 MicrosoftOffice 2007 Service Pack 3 MicrosoftOffice 2010 Service Pack 2 MicrosoftOffice 2013 Service Pack 1 MicrosoftOffice 2016 利用条件 在影响范围内的应用 用户打开恶意Office 漏洞概述 CVE-2017-11882是微软公布的一个远程执行漏洞,该漏洞的成...
CVE-2017-11882CVE-2017-11882(通杀Office 2003到2016)
03-04
CVE-2017-11882概述 从突破利用效果来看,它可以通杀Office 2003到2016的所有版本,并且整个攻击环境的内置非常简单。此突破是由Office软件里面的[公式编辑器]造成的,由于编辑器进程没有对举个例子,如果黑客利用这...
cve-2017-11882漏洞分析资料.zip
02-17
CVE-2017-11882是一个针对Microsoft Office的严重远程代码执行漏洞,它涉及到对象链接和嵌入(OLE)技术。OLE是Windows操作系统中的一种功能,允许不同应用程序之间共享数据和实现交互操作。此漏洞的存在使得攻击者...
CVE-2017-11882 通杀所有office版本
zhabgbuneng的博客
05-24 513
office算是生活工作用的比较多的工具了,最近发现哪怕17年爆出了CVE-2017-11882这个漏洞,许多人也没有进行重视或是修复,甚至完全不知情,就我身边的朋友,基本一抓一个准,此漏洞影响还是蛮广的,大部分office版本都存在 漏洞概述 此漏洞是由Office软件里面的 [公式编辑器] 造成的,由于编辑器进程没有对名称长度进行校验,导致缓冲区溢出,攻击者通过构造特殊的字符,可以实现任意代码执行。 举个例子,如果黑客利用这个漏洞,构造带有shell后门的office文件,当普通用户打开这个off
【Windows】CVE-2017-11882漏洞利用
古月浪子的博客
02-09 3244
CVE-2017-11882是一个Office漏洞,虽然该漏洞已经有补丁了,且杀毒软件也能查出利用了该漏洞的恶意文档,但是学习和复现该漏洞仍是一项令人受益颇多的过程 为了复现该漏洞,我们需要准备Office2016及以前的版本,这里我选择的是2016版本 利用漏洞的主要手段是,依靠公式编辑器中的缓冲区溢出执行短长度命令行以及Office自动在TEMP目录下临时释放附件的特性,达到执行任意代码的效果 导致漏洞的罪魁祸首就是一个叫EQNEDT32.EXE的程序,该文件的位置可以用任务管理器查看进程文件来定位
CVE-2017-11882Office远程代码执行)
浅笑996的博客
11-22 571
测试环境:win7+kali+office 2007 xp+kali+office 2003 win7 ip:10.10.1.144 xp ip: 10.10.1.126 kali ip 10.10.1.67 一. 简单测试弹出计算器(xp) 1.在kali下执行生成一个含有恶意代码的doc进行测试: PythonCommand109b_CVE-2017-11882 -c “cmd.exe /...
漏洞cve2017-11882
m0_64973256的博客
12-21 829
所以我们需要在EQNEDT32.exe中下断点,而不是word里面下断点。可以看到计算器的父进程是cmd,但是cmd的父进程存在PID,但是在列表中却找不到PID为1404的进程,卡顿许久,猜测或许是cmd父进程隐藏了自己或者启动时间太短,启动完自己结束。也就是这里是通过淹没返回地址到WinExec上,然后通过修改字符串控制WinExec的参数,启动cmd打开计算器实现。通过启动cmd,打开了计算器,而之后的的AAAA等都是传给计算器参数,是无效的。
[漏洞样本分析]CVE-2017-11882
r250414958的博客
11-01 3495
环境: Win7(专业版) office 2003 sp3(完全版) 工具: Ollydbg IDA Pro PEid Kali-Linux metasploit POC来源: https://github.com/embedi/CVE-2017-11882 漏洞介绍: 安全公司Embedi最早报告了漏洞,他们在一个老旧的微软工具Equation Editor中的EQNEDT32...
陈年老洞CVE-2017-11882漏洞分析
WLINX
03-16 934
目录 漏洞简介 影响版本 Office基础 漏洞分析 获取POC 漏洞演示 漏洞定位 漏洞分析 漏洞简介 2017年11月14日,微软发布了11月份的安全补丁更新,其中比较引人关注的莫过于悄然修复了长达17年的Office远程代码执行(CVE-2017-11882)陈年老洞。该漏洞属于缓冲区溢出类型漏洞,影响目前流行的所有Office版本,产生漏洞原因于EQNEDT32.EXE...
CVE-2017-11882漏洞利用
qq_38111876的博客
09-03 739
转载至:https://www.cnblogs.com/Oran9e/p/7880832.html CVE-2017-11882漏洞利用 CVE-2017-11882漏洞利用 最新OfficeCVE-2017-11882的poc刚刚发布出来,让人眼前一亮,完美无弹窗,无视宏,影响Ms offcie全版本,对于企业来说危害很大。在此简单说下这个漏洞的复现和利用过程。 ...
CVE-2017-11882漏洞分析报告
黑夜黎明
05-17 1443
漏洞简介: 软件名称及版本:Microsoft Office2016以下 漏洞模块:EQNEDT32.EXE 漏洞编号:CVE-2017-11882 危害等级:高危 漏洞类型:缓冲区溢出 威胁类型:远程 软件简介:    Microsoft Office是微软公司针对Windows操作系统所推出的办公室套装软件,漏洞出现在EQNEDT32.EXE模块中,在Office的安装过程中被默认安装。当插入...
CVE-2017-11882及利用样本分析
爱国小白帽
03-25 1738
CVE-2017-11882及利用样本分析 原创 复眼小组 [Gcow安全团队](javascript:void(0)???? 今天 CVE-2017-11882及利用样本分析 1.本文由复眼小组ERFZE师傅原创2.本文略微偏向基础,首先介绍了该漏洞的成因,并且分析了该漏洞在蔓灵花,摩诃草,响尾蛇APT组织用于实际攻击活动中的详细调试过程3.本文全文字数共2234字,图片95张 预计阅读时间14分钟 ...
CVE-2017-11882解决方案
a870488326的博客
06-06 1186
文章摘自:http://www.freebuf.com/vuls/154462.html 漏洞影响版本: Office 365 Microsoft Office 2000       Microsoft Office 2003       Microsoft Office 2007 Service Pack 3 Microsoft Office 2010 Service Pack 2...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值