-
-
[原创]wps漏洞(QVD-2023-17241)复现|hvv2023_0day
-
发表于:
2023-9-12 22:10
6173
-
[原创]wps漏洞(QVD-2023-17241)复现|hvv2023_0day
本次使用WPS Office 2023个人版 < =11.1.0.15120
win7复现漏洞
kali使用cobaltstrike上线
1 2 3 4 | 1. win + R,输入C:\Windows\System32\drivers\etc打开hosts文件所在位置
2. 右键hosts文件–>点击属性 - >点击安全,把所有组用户名权限打开
3. 前面设置确定完以后。右击hosts文件,用Notepad + + 打开
4. 新增 127.0 . 0.1 clientweb.docer.wps.cn.cloudwps.cn
|
ps:漏洞触发需让域名规则满足clientweb.docer.wps.cn.{xxxxx}wps.cn即可,cloudwps.cn和wps.cn没有任何关系。正常攻击,也可以使用clientweb.docer.wps.cn.hellowps.cn.
需要在poc的1.html当前路径下启动http.server并监听80端口
python2下监听命令为:python -m SimpleHTTPServer 80
python3下监听命令为:python -m http.server 80
将poc.docx的后缀改为poc.zip并解压,解压出来有三个文件夹和一个xml文件:
漏洞url位于poc\word\webExtensions\webExtension1.xml,wpswe:url字段中的地址通过内置浏览器打开,加载1.html文件后会触发浏览器内核漏洞,执行任意shellcode。该url需要与hosts中修改的url一致
1.html是执行恶意命令的文件。其中执行的恶意代码,保存在shellcode变量中。
打开poc.docx,计算器弹成功。
接下来尝试将cs马植入进来:
使用kali创建一个cs马:
启动./teamserver ip 密码 和./start.sh打开cs
制作payload:
将生成的shellcode替换掉1.html中的shellcode
即可成功上线
附poc解压码:bbs.kanxue.com
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
最后于 2023-9-13 15:49
被大河向东流哇编辑
,原因: