Goal Reached Thanks to every supporter — we hit 100%!

Goal: 1000 CNY · Raised: 1000 CNY

100.0%
Buy Us a Coffee

CVE-2024-21412 PoC — Microsoft Windows 安全漏洞

Source
https://github.com/lsr00ter/CVE-2024-21412_Water-Hydra
Associated Vulnerability
Title:Microsoft Windows 安全漏洞 (CVE-2024-21412)
Description:Microsoft Windows是美国微软(Microsoft)公司的一套个人设备使用的操作系统。 Microsoft Windows Internet Shortcut Files存在安全漏洞。以下产品和版本受到影响:Windows 10 Version 21H2 for x64-based Systems,Windows Server 2022 (Server Core installation),Windows 11 Version 22H2 for ARM64-based Systems,Win
Description
according to trendmicro's research
Readme
# CVE-2024-21412_Water-Hydra

通过 CVE-2024-21412 传递恶意软件

## usage

依次启动服务,并访问 web server

## webserver

在文件夹内启动 web server: `python -m http.server`
- Initial Access: 使用 Windows 高级查询语法(AQS)链接回 WebDAV 共享的 JPEG 木马。
- Initial Access:使用 search: 协议来自定义 Windows 资源管理器窗口
  - 它使用 search: 应用协议搜索来执行照片搜索
  - 它使用 crumb 参数来限制搜索范围到恶意的 WebDAV 共享。
  - 它使用 DisplayName 元素来欺骗用户,使他们认为这是本地的下载文件夹。

## samba-compose

在文件夹内执行 `docker compose up`
- 使用 crazymax/samba docker 的 samba 服务器

## loader

编写 `a2.cmd` 并压缩为 `a2.zip` 文件,放在 `samba-compose/pictures` 文件夹内
- Execution: 利用 CVE-2024-21412 (ZDI-CAN-23100) 绕过 Microsoft Defender SmartScreen
> CVE-2024-21412 围绕互联网快捷方式。这些.url 文件是简单的 INI 配置文件,它们采用“URL=”参数指向一个 URL。虽然.url 文件格式没有官方文档,但 URL 参数是这种文件类型所必需的唯一参数。
File Snapshot

 [4.0K]  /data/pocs/a00bfd67e4ec31e485e7333cffccf51ced97f9b9
├── [4.0K]  loader
│   └── [ 244]  a2.cmd
├── [1.1K]  README.md
├── [4.0K]  samba-compose
│   ├── [ 338]  compose.yml
│   ├── [4.0K]  data
│   │   └── [ 542]  config.yml
│   └── [4.0K]  pictures
│       ├── [ 134]  2.url
│       ├── [ 346]  a2.zip
│       └── [ 113]  photo_2024-03-20.jpg.url
└── [4.0K]  webserver
    └── [ 493]  photo_2024-03-20.jpg.htm

5 directories, 8 files
Shenlong Bot has cached this for you
Remarks
    1. It is advised to access via the original source first.
    2. If the original source is unavailable, please email f.jinxu#gmail.com for a local snapshot (replace # with @).
    3. Shenlong has snapshotted the POC code for you. To support long-term maintenance, please consider donating. Thank you for your support.