首页
社区
课程
招聘
[原创]wps漏洞(QVD-2023-17241)复现|hvv2023_0day
发表于: 2023-9-12 22:10 6192

[原创]wps漏洞(QVD-2023-17241)复现|hvv2023_0day

2023-9-12 22:10
6192

本次使用WPS Office 2023个人版 < =11.1.0.15120
win7复现漏洞
kali使用cobaltstrike上线

1
2
3
4
1. win+R,输入C:\Windows\System32\drivers\etc打开hosts文件所在位置
2.右键hosts文件–>点击属性->点击安全,把所有组用户名权限打开
3. 前面设置确定完以后。右击hosts文件,用Notepad++打开
4.新增127.0.0.1 clientweb.docer.wps.cn.cloudwps.cn

ps:漏洞触发需让域名规则满足clientweb.docer.wps.cn.{xxxxx}wps.cn即可,cloudwps.cn和wps.cn没有任何关系。正常攻击,也可以使用clientweb.docer.wps.cn.hellowps.cn.

需要在poc的1.html当前路径下启动http.server并监听80端口

python2下监听命令为:python -m SimpleHTTPServer 80
python3下监听命令为:python -m http.server 80
图片描述

将poc.docx的后缀改为poc.zip并解压,解压出来有三个文件夹和一个xml文件:
图片描述

漏洞url位于poc\word\webExtensions\webExtension1.xml,wpswe:url字段中的地址通过内置浏览器打开,加载1.html文件后会触发浏览器内核漏洞,执行任意shellcode。该url需要与hosts中修改的url一致
图片描述

1.html是执行恶意命令的文件。其中执行的恶意代码,保存在shellcode变量中。
图片描述

打开poc.docx,计算器弹成功。
图片描述

接下来尝试将cs马植入进来:
使用kali创建一个cs马:
启动./teamserver ip 密码 和./start.sh打开cs
制作payload:
图片描述
图片描述
图片描述
将生成的shellcode替换掉1.html中的shellcode
图片描述
即可成功上线

附poc解压码:bbs.kanxue.com


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

最后于 2023-9-13 15:49 被大河向东流哇编辑 ,原因:
上传的附件:
收藏
免费 4
支持
分享
最新回复 (1)
雪    币: 3070
活跃值: (30876)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
感谢分享
2023-9-13 09:22
1
游客
登录 | 注册 方可回帖
返回
//