福彩3d出号走势图彩乐乐
3D任5选2组合遗漏分析 福彩3d跨度走势图带连线图 3d和尾走势图带连线 福彩3d和值走势图500期 3d和尾走势图大全 福彩3d大小奇偶走势图500期 今天3d试机号分析 福彩3d组三走势图带连线图 彩票3d试机号分析 福彩3d和值走势图带连线易彩网 福彩3d出号走势图彩宝贝 彩吧助手福彩3d出号走势图 福彩3d和值走势图带线 3d试机号分析17500 南方福彩3d跨度走势图带连线
CVE-2018-0802利用
in 工具收集奇技淫巧 with 0 comment

CVE-2018-0802利用

in 工具收集奇技淫巧 with 0 comment

在CVE-2017-11882之后,2018年1月份又出了一個新的“噩夢公式二代”,在野樣本嵌入了利用Nday漏洞和0day漏洞的2個公式對象同時進行攻擊,Nday漏洞可以攻擊未打補丁的系統,0day漏洞則攻擊全補丁系統,繞過了CVE-2017-11882補丁的ASLR(地址隨機化)安全保護措施,攻擊最終將在用戶電腦中植入惡意的遠程控制程序。關于此漏洞的分析,可以看這里,今天看到在github公開了一個CVE-2018-0802的利用腳本,地址在這,為了達到最完美的利用,所以編寫了RTF_11882_0802。

GITHUB:
此腳本集合了兩個公式利用漏洞。

利用方式與之前的方式一樣。

python RTF_11882_0802.py -c "cmd.exe /c calc.exe"  -i test.rtf -o test.doc

其實就是簡單粗暴的把兩個公式編輯器插入文檔中,一個是11882,一個是0802。

“噩夢公式二代”(CVE-2018-0802)所使用的0day漏洞堪稱CVE-2017-11882的雙胞胎漏洞,攻擊樣本中的一個漏洞針對未打補丁前的系統,另外一個漏洞針對打補丁后的系統,利用兩個OLE同時進行攻擊,黑客精心構造的攻擊完美兼容了系統漏洞補丁環境的不同情況。這個漏洞的利用技巧和Bypass ASLR的方式都帶有一定的巧合性,假如EQNEDT32.EXE模塊內沒有一條滿足條件的ret指令可以用來繞過ASLR,假如lpLogFont不是sub_21774的第一個參數,假如CVE-2017-11882的補丁修復方式強制開啟了DEP保護,“噩夢公式二代”將沒有可乘之機。

解決方案

一、及時更新補丁

補丁下載地址:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-0802

二、通過注冊表禁用此模塊,可通過修改注冊表,禁用以下COM控件的方式進行緩解,其中XX.X為版本號

在運行中輸入:

reg add “HKLM\SOFTWARE\Microsoft\Office\XX.X\Common\COMCompatibility\{0002CE02-0000- 0000-C000-000000000046}” /v”Compatibility Flags” /t REG_DWORD /d 0×400
reg add”HKLM\SOFTWARE\Wow6432Node\Microsoft\Office\XX.X\Common\COMCompatibility\{0002CE02-0000-0000-C000-000000000046}” /v”Compatibility Flags” /t REG_DWORD /d 0×400

注:此腳本只是為了安全研究,切勿非法使用!使用此腳本所造成的一切法律問題及后果,本站概不負責!

Responses
福彩3d出号走势图彩乐乐
3D任5选2组合遗漏分析 福彩3d跨度走势图带连线图 3d和尾走势图带连线 福彩3d和值走势图500期 3d和尾走势图大全 福彩3d大小奇偶走势图500期 今天3d试机号分析 福彩3d组三走势图带连线图 彩票3d试机号分析 福彩3d和值走势图带连线易彩网 福彩3d出号走势图彩宝贝 彩吧助手福彩3d出号走势图 福彩3d和值走势图带线 3d试机号分析17500 南方福彩3d跨度走势图带连线
麻将高手打牌思路 28稳赚 gt时时彩地址 11选5内蒙古 快3大小单双怎么买稳赚 太子pk10五码全天免费计划 福彩3d技巧 稳赚 火龙果app下载安卓版 福建快三助手 武汉口口翻麻将技巧