CVE-2017-11882是微软公布的一个远程代码执行漏洞,漏洞是由模块EQNEDT32.EXE公式编辑器引起,该模块在Office的安装过程中被默认安装,该模块以OLE技术(Object Linking and Embedding,对象链接与嵌入)将公式嵌入在Office文档内。 漏洞产生原因是公式编辑器EQNEDT32.EXE(路径C:...
近年来,针对微软Office套件最火热最流行的攻击手段,莫过于基于CVE-2017-11882的漏洞利用。 2017年11月14号,微软推送了常规的安全更新,其中,关于 CVE-2017-11882 的安全更新引起了圈里的关注,随之而来的,便是针对此漏洞的 POC 攻击代码被逐渐公开。各路大神在Twitter 和 Github 上相继公布自己的POC及对应的漏洞利...
1. MSF渗透测试-CVE-2017-11882(MSOffice漏洞)(3436) 2. 64位Kali无法顺利执行pwn1问题的解决方案(1825) 3. Terminal(终端) 在 OS X下如何快速调用(918) 4. 20154312 曾林 ExpFinal CTF Writeup(895) 5. 鱼龙混杂 · 数据结构学习笔记(01)(734) 评论排行榜 1. Terminal(终端) 在 OS X下...
但请记住,这需要合法授权,并且只应在专门为此目的设立的测试环境中进行。 在Metasploit中,可以使用exploit/windows/smb/cve_2017_11882模块。在设置好目标IP、端口、URIPATH、payload等参数后,运行该模块即可尝试利用该漏动。 AI检测代码解析 # 使用前先设置好相关参数 set RHOSTS <target_IP> set RPORT <target_po...
cve_2017_11882.rb的内容如下: ## # This module requires Metasploit:https://metasploit.com/download # Current source:https://github.com/rapid7/metasploit-framework ## class MetasploitModule < Msf::Exploit::Remote Rank = NormalRanking include Msf::Exploit::Remote::HttpServer ...
本次漏洞还是一个office溢出漏洞,漏洞编号cve-2017-11882。该漏洞是office一个组件EQNEDT32.EXE引起的栈溢出,通杀office版本2007-2016。 二、复现环境 系统版本 目标程序 调试工具 辅助工具 win7 sp1 x86 office2007 olldbg Process-Monitor 三、漏洞复现
我们先复习一下正常的RTF文档中利用Office公式编辑器漏洞的方式,以CVE-2017-11882为例: 首先,RTF文档中会被插入一个objdata,紧跟在RTF控制字“\objdata”后,随后的数据结构为4字节的版本标识、format_id(embed代表嵌入式)、OLE流名字(Equation.3)等等: ...
最近看了一点非PE的样本,发现CVE-2017-11882这个漏洞在实战中的使用非常频繁,有很多在活的APT组织都还在使用,之前都是直接去捕获利用该洞释放的文件,最近有时间,就对11882进行一个完善一点的跟踪。 11882属于Office Equation类型的漏洞,2017年底发现,目前使用较多的有11...
微软公式编辑器系列漏洞分析(一):CVE-2017-11882 0x00 简介 CVE-2017-11882为Office内存破坏漏洞。攻击者可以利用漏洞以当前登录的用户的身份执行任意命令。所影响的组件是Office 公式编辑器。需要注意的是这里是老版本的公式编辑器,微软在新版本的office中已经默认不使用了。不过,微软仍然保留老版本的公式编辑器,为了...
CVE-2017-11882属于缓冲区溢出类型漏洞,产生漏洞原因于EQNEDT32.EXE(微软office自带公式编辑器)进程在读入包含MathType的ole数据时,在拷贝公式字体名称(Font Name数据)时没有对名称长度进行校验,导致缓冲区溢出。通过覆盖函数的返回地址,可执行任意代码。 漏洞复现 ...