-
-
[原创]wps漏洞(QVD-2023-17241)复现|hvv2023_0day
-
2023-9-12 22:10
-
本次使用WPS Office 2023个人版 < =11.1.0.15120
win7复现漏洞
kali使用cobaltstrike上线
1 2 3 4 | 1. win+R,输入C:\Windows\System32\drivers\etc打开hosts文件所在位置2.右键hosts文件–>点击属性->点击安全,把所有组用户名权限打开3. 前面设置确定完以后。右击hosts文件,用Notepad++打开4.新增127.0.0.1 clientweb.docer.wps.cn.cloudwps.cn |
ps:漏洞触发需让域名规则满足clientweb.docer.wps.cn.{xxxxx}wps.cn即可,cloudwps.cn和wps.cn没有任何关系。正常攻击,也可以使用clientweb.docer.wps.cn.hellowps.cn.
需要在poc的1.html当前路径下启动http.server并监听80端口
python2下监听命令为:python -m SimpleHTTPServer 80
python3下监听命令为:python -m http.server 80
将poc.docx的后缀改为poc.zip并解压,解压出来有三个文件夹和一个xml文件:
漏洞url位于poc\word\webExtensions\webExtension1.xml,wpswe:url字段中的地址通过内置浏览器打开,加载1.html文件后会触发浏览器内核漏洞,执行任意shellcode。该url需要与hosts中修改的url一致
1.html是执行恶意命令的文件。其中执行的恶意代码,保存在shellcode变量中。
打开poc.docx,计算器弹成功。
接下来尝试将cs马植入进来:
使用kali创建一个cs马:
启动./teamserver ip 密码 和./start.sh打开cs
制作payload:
将生成的shellcode替换掉1.html中的shellcode
即可成功上线
附poc解压码:bbs.kanxue.com
[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法
