漏洞简述
参考:https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-30190
Microsoft Support Diagnostic Tool 的代码执行漏洞(CVE-2022-30190),当从Word等应用程序使用 URL 协议调用 MSDT 时存在远程执行代码漏洞,攻击者通过制作恶意的Office文档,诱导用户在受影响的系统上打开恶意文档后,在宏被禁用的情况下,仍可通过 ‘ms-msdt’ URI执行任意PowerShell代码,当恶意文件保存为RTF格式时,无需受害者打开文件,即可通过资源管理器中的预览窗格在目标系统上执行任意代码。
MSDT(Microsoft Support Diagnostics Tool,微软支持诊断工具)是一个Windows实用程序,用于排除故障并收集诊断数据以供专业人员分析和解决问题。
漏洞学习
后台扣msdt
获取学习资料
-
用一台主机起web服务,将
prince.html
复制到网站文件目录,作为运行恶意prince.html
的主机。 -
再使用压缩工具打开文件
poc.docx
,转到wordrelsdocument.xml.rels
并对其进行编辑。将此文件中的ip
更改为1
中web主机的ip
。 -
在被测机器上运行
poc.docx
,弹🤺弹🤺弹🤺。
排查及防护
参考:http://blog.nsfocus.net/microsoft-office-msdt-cve-2022-30190/
原文始发于微信公众号(安全圈小王子):CVE-2022-30190_ms_msdt_rce学习
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论