漏洞复现：通过CVE-2022-30190上线CS_30190免杀

免责声明：本文章仅供学习和研究使用，严禁使用该文章内容对互联网资产进行任何未授权的非法操作!若将其用于非法目的，所造成的后果由您自行承担，产生的一切风险与本文作者无关，如继续阅读该文章即表明您默认遵守该内容。

注：亲测该漏洞已被win10的defender查杀。需要做免杀

0x00 前言

CVE-2022-30190是一个Office的RCE，其能够在非管理员权限、禁用宏且在windows defender的情况下绕过防护，达到上线的效果。这里不对漏洞原理做过多的分析(主要是因为太菜)，主要是进行漏洞的实战化复现，通过生成一个可以触发漏洞的docx，点击该docx即可上线CS。
已知漏洞影响范围：
office 2021 Lts

office 2019

office 2016

Office 2013

Office ProPlus

Office 365

0x01 环境准备

1.攻击机
windows10
2.靶机
windows10专业版
office2019(内部版本号：1808，高于此版本的office2019则不受影响)

0x02 下载POC

在攻击机直接下载使用komomon大佬的工具：CVE-2022-30190-follina-Office-MSDT-Fixed
该工具经过大佬的修改，能自定义doc模板，比较贴合实战。

0x03 攻击机启动CS服务端并挂载web payload

1.攻击机起一个CS服务端，并起一个HTTPS的监听器，这里测试了HTTPS和HTTP都能成功上线，DNS不行，因为生成的payload没有x64的stager，因此在64位机器上无法执行，原因因为太菜所以不明。
2.在CS服务端生成一个https的powershell payload,生成的ps1文件直接通过CS托管，实战中这个文件随便找个网盘之类的站挂上就行。
3.将WWW文件夹中的expolit.html通过CS托管，将web payload挂载到CS上。

0x04 攻击机生成docx文件

1.执行命令：xxxx生成一个docx文件
2.将docx文件发送给靶机

0x05 靶机模拟点击docx上线CS

我们模拟点击收到的来路不明的docx文件：
可以看到攻击机上的CS收到了靶机回传回来的Beacon会话

0x06 后记

后记就是CS生成的powershell脚本会直接被杀，因此在实战中还需要做免杀，绕过静态查杀和动态查杀，这是一个很宏大的命题，在此不多作阐述。

----未完待续