直接贴本地复现过程

2017年11月14日，微软发布了11月份的安全补丁更新，其中比较引人关注的莫过于悄然修复了潜伏17年之久的Office远程代码执行漏洞（CVE-2017-11882）。该漏洞为Office内存破坏漏洞，影响目前流行的所有Office版本。攻击者可以利用漏洞以当前登录的用户的身份执行任意命令。 由于漏洞影响面较广，漏洞披露后，金睛安全研究团队持续对漏洞相关攻击事件进行关注。11月19日，监控到了已有漏洞POC在网上流传，随即迅速对相关样本进行了分析。目前该样本全球仅微软杀毒可以检测。

等于说，影响现在主流的Office版本，基本可以做到通杀。

这里我给出两个POC。

两个POC的代码我也贴上。

Command43b_CVE-2017-11882.py的代码如下：

Command109b_CVE-2017-11882.py的代码如下：

利用过程如下:
打开上面的的Command43b_CVE-2017-11882.py的脚本，测试一下DOC文件。
使用命令如下：

python Command43b_CVE-2017-11882.py -c "cmd.exe /c calc.exe" -o cve.doc

使用这条命令后会在目录里生成一个名为cve.doc的doc文件，拿到Windows7靶机去打开看看效果。

Windows7打开恶意doc文件后，系统调用的计算器已经弹出，证明该POC是可行的。
（为什么要弹计算器....这个梗已经被众多黑客玩烂了。。）

打开MSF后，搜搜漏洞利用模块。
msf > PS_shell

使用该模块
msf > use exploit/windows/CVE-2017-11882/PS_shell

上图的操作过程如下：

配置无误后即可执行，执行后MSF会监听本地8080端口，如果机器打开doc就会触发，反弹shell建立会话。

此时这个test显然不是一份doc格式的文件，我们需要用到刚刚用的py脚本文件，生成一份恶意的doc文件。

生成恶意doc文件

这个时候，拿test1.doc文件到Windows7去打开试试。

Windows7打开效果

MSF监听效果

可以看到MSF已经和Windows7建立起了连接，
此种攻击方式是利用的powershell反弹，打开恶意doc文档的时候会一闪而逝的“Poweshell”窗口。

net user

到此漏洞复现完成。说点其他的，现在的攻击方式可不止EXE文件这种方式。

样本文件360会扫描识别到并且拦截，因为调用了powershell，类似于恶意动作，360会报警。
但是可以用免杀处理一下，至于怎么处理，就看各位的功夫了。
一般人不会想到恶意doc文档攻击，尽量小心陌生人发来的东西，可能不止是EXE文件，doc也可能会充满恶意。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课