探索CVE-2021-40444漏洞:一键生成恶意DOCX的PoC工具

于 2024-05-13 09:54:55 发布
阅读量307 收藏 6
点赞数 3
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00070/article/details/138788761
版权

探索CVE-2021-40444漏洞:一键生成恶意DOCX的PoC工具

1、项目介绍

CVE-2021-40444 PoC 是一个开源项目,它是一个用于演示如何利用CVE-2021-40444(微软Office Word远程代码执行)漏洞的恶意DOCX文件生成器。这个脚本基于对野外地样本的逆向工程进行创建,可以帮助安全研究者和开发者理解并防范此类攻击。

2、项目技术分析

该项目的核心是通过Python脚本exploit.py来生成带有恶意DLL的DOCX文档。它首先需要安装lcab工具,lcab用于创建 Cabinet 文件,这是在DOCX文件中嵌入恶意代码的关键步骤。然后,脚本将DLL文件与一个自定义HTML页面结合,当受害者打开被感染的DOCX文件时,HTML会触发DLL的执行,从而实现远程代码注入。

REPRODUCE.md文件中,详细记录了手动复现此漏洞的过程,帮助用户深入理解其工作原理。

3、项目及技术应用场景

  • 安全研究:对于安全研究人员来说,这是一个很好的学习平台,可以探索并了解漏洞的工作方式,以及如何防止类似攻击。
  • 防御策略测试:企业IT部门可以利用这个工具测试他们的防护措施是否能有效抵御这种类型的安全威胁。
  • 教学示例:网络安全课程可以用此项目作为案例,让学生了解现代恶意软件的制作过程。

4、项目特点

  • 简单易用:只需提供DLL和服务器IP,就能一键生成恶意DOCX文件。
  • 实战性强:通过设置本地服务器模拟攻击环境,让用户直观地看到漏洞触发效果。
  • 教育价值:通过实际操作,有助于加深对CVE-2021-40444漏洞的理解。

为了确保你的实验环境安全,请仅在受控环境中运行此PoC,并遵守相关法律法规。

通过这个项目,你不仅可以亲身体验到漏洞利用的过程,也能增强对Office应用程序安全性的认识。如果你对信息安全充满热情,或者希望提升自己的安全防护技能,那么这个项目绝对值得你尝试!

劳泉文Luna
关注
CVE-2017-11882 Office漏洞
sxr__nc的博客
03-16 802
简介 CVE-2017-11882属于缓冲区溢出类型漏洞,造成漏洞的原因是,EQNEDT32.EXE(微软office自带公式编辑器)进程在读入包含MathType的ole数据时,在拷贝公式字体名称(Font Name数据)时没有对名称长度进行校验,导致缓冲区溢出。通过覆盖函数的返回地址,可执行任意代码。 深究其中的具体原因还要对ole文件的数据格式进行了解: ole文件的数据格式 ...
【安全漏洞】深入剖析CVE-2021-40444-Cabless利用链
HBohan的博客
02-27 648
本文主要分析了CVE-2021-40444的Cabless利用链中存在的路径问题以及对之前技术研判内容进行补充。通过分析CVE-2021-40444新利用链,可以看到该漏洞的根本原因是Office文档可以通过MHTML协议请求访问远程HTML页面从而执行JavaScript代码,并最终通过Url Scheme启动本地应用程序执行投递的恶意代码,而中间投递恶意代码的方式是可以替换的。
RCE高危漏洞预警:CVE-2021-40444简要分析
「鸿渐之翼」的博客
09-24 2145
漏洞影响及其危害:未经身份验证的攻击者可以利用该漏洞在目标系统上执行代码。 Microsoft发布了一份关于此漏洞的官方公告。 这篇博客文章讨论了该漏洞如何发挥作用.。 我们已获得多个利用此漏洞的文档样本。文档包中的document.xml.rels文件中都包含以下代码: 请大家主要,存在一个URL(我们已删除),该URL下载一个名为side.html的文件(SHA-256:D0FD7ACC38B3105FACD699534242F28E45F5380FDF2EC93EA24BFBC1DC9E6)。该文件
CVE-2021-40444复现
weixin_42345596的博客
09-16 1770
CVE-2021-40444 漏洞描述 2021年9月8日,微软发布安全通告披露了Microsoft MSHTML远程代码执行漏洞,攻击者可通过制作恶意的ActiveX控件供托管浏览器呈现引擎的 Microsoft Office文档使用,成功诱导用户打开恶意文档后,可在目标系统上以该用户权限执行任意代码,微软在通告中指出已检测到该漏洞被在野利用,请相关用户采取措施进行防护。 MSHTML(又称为Trident)是微软旗下的Internet Explorer浏览器引擎,也用于Office应用程序,以在Word
CVE-2021-40444-Microsoft MSHTML远程命令执行漏洞分析(三)
include_voidmain的博客
06-30 545
CVE-2021-40444-Microsoft MSHTML远程命令执行漏洞分析(三)
CVE-2021-40444:MSHTML RCE预警
Fly_鹏程万里
09-13 2520
影响范围 Windows Server, version 20H2 (Server Core Installation) Windows Server, version 2004 (Server Core installation) Windows Server 2022 (Server Core installation) Windows Server 2022 Windows Server 2019 (Server Core installation) Windows Server 2019
〖EXP〗Ladon CVE-2021-40444 Office漏洞复现Cobalt Strike上线
K8哥哥
09-15 2414
漏洞概述 北京时间9月8日,绿盟科技CERT监测到微软发布安全通告披露了Microsoft MSHTML 远程代码执行漏洞,攻击者可通过制作恶意的 ActiveX 控件供托管浏览器呈现引擎的 Microsoft Office文档使用,成功诱导用户打开恶意文档后,可在目标系统上以该用户权限执行任意代码。微软在通告中指出已检测到该漏洞被在野利用,请相关用户采取措施进行防护。 MSHTML(又称为Trident)是微软旗下的Internet Explorer 浏览器引擎,也用于 Office 应用程序,以在 Wo
Windows支持诊断工具(MSDT)远程代码执行漏洞(CVE-2022-30190)分析复现/修复
hongduilanjun的博客
06-08 3435
Microsoft Windows Support Diagnostic Tool (MSDT) Remote Code Execution Vulnerability对应的cveCVE-2022-30190,其能够在非管理员权限、禁用宏且在windows defender的情况下绕过防护,达到上线的效果。这里我们不对漏洞原理做过多的阐述(因为太菜),主要是进行漏洞的复现。在这里笔者只测试了如下版本能够适用,对于Office的 Insider 和 Current 和版本无法进行利用Microsoft Of
CVE-2022-30190 Follina Office RCE分析【附自定义word钓鱼模板POC】.doc
07-09
CVE-2022-30190 Follina Office RCE分析 ...CVE-2022-30190 Follina Office RCE是一个非常危险的漏洞,攻击者可以通过精心设计的Word文档来执行恶意代码。我们应该及时更新Microsoft Office的补丁,避免受到攻击。
CVE-2021-40444漏洞复现详细
热门推荐
weixin_51203422的博客
09-14 1万+
2021年9月8日,微软官方发布了MSHTML组件的风险通告(漏洞编号:CVE-2021-40444),未经身份验证的攻击者可以利用该漏洞在目标系统上远程执行代码。微软官方表示已经监测到该漏洞存在在野利用。 1、漏洞详情: Microsoft MSHTML远程代码执行漏洞 CVE-2021-40444 严重级别:严重 CVSS:8.8 被利用级别:检测到利用 危害:未经身份验证的攻击者可以利用该漏洞在目标系统上执行代码。 在野利用:微软表示已经发现攻击者利用此漏洞。在Office文档中添...
CVE-2021-40444分析报告微软MHTML远程命令执行漏洞
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
11-02 1315
CVE-2021-40444漏洞概述.2021 年 8 月 21 日,MSTIC 观察到一名 Mandiant 员工在社交媒体上发布的帖子,该员工具有跟踪 Cobalt Strike Beacon 基础设施的经验。所写文章重点介绍了一个于 2021 年 8 月 19 日上传到 VirusTotal的 Microsoft Word 文档(SHA-256:3bddb2e1a85a9e06b9f9021ad301fdcde33e197225ae1676b8c6d0b416193ecf)。 MSTIC 对样本进行了
Windows DNS Server 远程代码执行漏洞 (CVE-2021-24078) 的详细原理分析
smellycat000的专栏
02-11 3336
聚焦源代码安全,网罗国内外最新资讯!漏洞简介Windows DNS Server 是 Windows Server 服务器上的一项重要功能组件, 负责调度和处理域内主机的所有DNS相关服...
一款纯VF控制的变频器方案方案说明:可做0.2KW7.5KW 220V,0.2KW75KW 380V,富士通MB90F462A
10-02
一款纯VF控制的变频器方案方案说明:可做0.2KW7.5KW 220V,0.2KW75KW 380V,富士通MB90F462A LQFP64单片机控制,可提供源码及电路原理图,PCB图 这是一种基于纯VF控制的变频器方案。它可以在220V电压下提供0.2KW到7.5KW的功率输出,或者在380V电压下提供0.2KW到75KW的功率输出。该方案采用了富士通MB90F462A LQFP64单片机进行控制,并且提供了源码、电路原理图和PCB图。 知识点和领域范围: - 变频器:变频器是一种电力电子设备,用于控制交流电机的转速和输出功率。它通过改变输入电压的频率和幅值,实现对电机的调速控制。 - VF控制:VF控制是一种变频器控制方式,通过同时改变电压和频率的比例,实现对电机转速的精确控制。 - 单片机控制:单片机是一种集成电路芯片,具有处理器、存储器和输入输出接口等功能。它可以用于控制和管理各种电子设备,包括变频器。 - 源码:源码是计算机程序的原始代码,通常以文本形式表示。它包含了程序的逻辑和算法,可以被编译器或解释器转为可执行的机器代码。 - 电路原理图:电路原理图是一种图
基于Java语言实现的软件工程Lab1-2021111888设计源码
10-02
本项目为软件工程课程Lab1作业,采用Java语言实现,源码包含63个文件,包括16个Java源代码文件、11个PNG图片文件、8个XML配置文件、8个JAR包文件、8个class字节码文件、5个TXT文本文件、4个Git忽略配置文件、2个IDE配置文件和1个项目名称文件。
基于Python的入门级人脸、视频、文字检测与识别项目设计源码
10-02
该项目是一款入门级的人工智能项目,利用Python语言实现了人脸、视频和文字的检测与识别功能。项目包含130个文件,其中包括50个PNG图片文件、42个Markdown文档、25个Python源代码文件、3个HDF5数据文件、3个GIF动画文件、2个JPG图片文件、1个Git忽略规则文件、1个开源许可证文件、1个JSON数据文件和1个H5数据文件。该系统适合作为人工智能学习的入门项目。
SANJIAO_JICHU gerber.zip
10-02
SANJIAO_JICHU gerber.zip
大创资源推荐学习《word文档》
最新发布
10-02
大创资源推荐学习《word文档》 大创资源推荐学习知识点概述 大创资源推荐学习《word文档》 大创资源推荐学习知识点概述
CPA 会计 郑庆华 基础班 第24章 不丧失控制权处理部分子公司的处理.pdf
10-02
CPA 会计 郑庆华 基础班 第24章 不丧失控制权处理部分子公司的处理.pdf
CVE-2019-19781 Citrix漏洞:远程代码执行详解与检测
"本文将深入探讨CVE-2019-19781漏洞,该漏洞影响了Citrix Application Delivery Controller(ADC)和Citrix Gateway,可能导致远程代码执行(RCE)。我们将分析漏洞的成因、检测方法以及利用示例,帮助读者了解其...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

劳泉文Luna

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值