本次使用WPS Office 2023个人版 < =11.1.0.15120
win7复现漏洞
kali使用cobaltstrike上线
1
2
3
4
|
1.
win
+
R,输入C:\Windows\System32\drivers\etc打开hosts文件所在位置
2.
右键hosts文件–>点击属性
-
>点击安全,把所有组用户名权限打开
3.
前面设置确定完以后。右击hosts文件,用Notepad
+
+
打开
4.
新增
127.0
.
0.1
clientweb.docer.wps.cn.cloudwps.cn
|
ps:漏洞触发需让域名规则满足clientweb.docer.wps.cn.{xxxxx}wps.cn即可,cloudwps.cn和wps.cn没有任何关系。正常攻击,也可以使用clientweb.docer.wps.cn.hellowps.cn.
需要在poc的1.html当前路径下启动http.server并监听80端口
python2下监听命令为:python -m SimpleHTTPServer 80
python3下监听命令为:python -m http.server 80
将poc.docx的后缀改为poc.zip并解压,解压出来有三个文件夹和一个xml文件:
漏洞url位于poc\word\webExtensions\webExtension1.xml,字段中的地址通过内置浏览器打开,加载1.html文件后会触发浏览器内核漏洞,执行任意shellcode。该url需要与hosts中修改的url一致
1.html是执行恶意命令的文件。其中执行的恶意代码,保存在shellcode变量中。
打开poc.docx,计算器弹成功。
接下来尝试将cs马植入进来:
使用kali创建一个cs马:
启动./teamserver ip 密码 和./start.sh打开cs
制作payload:
将生成的shellcode替换掉1.html中的shellcode
即可成功上线
附poc解压码:bbs.kanxue.com
更多【wps漏洞(QVD-2023-17241)复现|hvv2023_0day】相关视频教程:www.yxfzedu.com