WPS Office从路径穿越到远程代码执行漏洞(CVE-2024-7262)分析与复现

于 2024-10-08 18:29:08 发布
阅读量658 收藏 10
点赞数 11
文章标签: wps
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/C20220511/article/details/142766344
版权

漏洞概述

WPS Office程序promecefpluginhost.exe存在不当路径验证问题,允许攻击者在Windows上加载任意Windows库文件。该漏洞已被APT-C-60攻击者利用,当用户打开MHTML格式的文档时,只需单击一个恶意制作的超链接,即可执行攻击者指定的恶意库文件,实现远程代码执行。

影响范围

WPS Office版本12.2.0.13110-12.2.0.16412

复现环境

操作系统:Win10 10.0.18363.592WPS Office版本:WPS Office 12.2.0.13110

分析过程

WPS程序安装后注册了一个名为 ksoqing 的自定义URL协议,注册表路径为:计算机\HKEY_CLASSES_ROOT\ksoqing\shell\open\command,其内容为"C:\Users\【用户名】\AppData\Local\Kingsoft\WPS Office\12.2.0.13110\office6\wps.exe" /qingbangong "%1"。即访问以ksoqing 开头的URL协议时,将启动wps.exe程序,并传递/qingbangong参数,%1则被替换为以ksoqing 开头的协议链接,一并作为wps启动的参数。

图片

此时wps.exe程序解析参数/qingbangong,并将ksoqing链接内容一并发送到 C:\Users\【用户名】\AppData\Local\Kingsoft\WPS Office\12.2.0.13110\office6\wpscloudsvr.exe

图片

wpscloudsvr.exe中的qingbangong.dll解析自定义URL链接内容。当type参数为ksolaunch时,将启动launchname参数指定的程序,参数使用base64编码。

图片

launchname参数指定的程序启动时,wpscloudsvr.exe会将URL链接中的cmd参数使用base64解码,然后传递给它。

图片

如果launchname参数指定的是promecefpluginhost.exe,该程序启动后,将加载ksojscore.dll,然后解析命令行中的-JSCefServicePath。

图片

这个参数可以指定一个文件名,这个文件会被kso_qt::QLibrary::load函数加载到内存执行。默认情况下,如果只是指定一个文件名,会按照DLL搜索顺序搜索和加载这个文件,比如加载同EXE目录下指定的DLL文件。但是这个参数未做任何过滤,可以指定“..\”包含目录的路径,存在路径穿越漏洞,可以加载任意指定的DLL文件,最终实现任意代码执行。

图片

图片

使用路径穿越的漏洞可以加载指定DLL文件,但这还不够。APT-C-60攻击者使用MHTML格式的xls电子表格文件,利用其特性,实现下载远程DLL文件的目的。WPS支持MHTML格式的文档,这种文档可以包含 HTML、CSS 和 JavaScript 等文件,方便在浏览器中显示文档。

文档中可以使用img标签,指定远程DLL文件。

图片

当文档被打开时,wps使用_XUrlDownloadToCacheFile函数下载文件到temp目录下的wps\INetCache目录中。

图片

图片

下载后的文件名,使用的是下载链接(UNICODE编码)的MD5值。

图片

图片

最终配合上述路径穿越漏洞,在-JSCefServicePath参数中指定下载的文件名,实现远程代码执行。这里还有一个小技巧,因为下载后的文件名并没有.dll后缀,而在加载的时候如果没有指定.dll后缀,会自动补上该后缀再加载。为了避免在加载的时候找不到指定文件导致失败,在-JSCefServicePath参数中指定下载的文件名时,需要在文件名最后额外加个“.”。

图片

漏洞复现

新建xls格式的文档,添加超链接,超链接可任意,并另存为MHTML格式的文档。

图片

根据远程DLL的下载链接,使用poc.py计算下载后的文件名,并最终生成ksoqing协议链接。

图片

将ksoqing链接替换导出的MHTML格式文档中的超链接。

图片

再根据远程DLL的下载链接,添加img标签,实现远程下载DLL文件。

图片

开启远程DLL下载服务,然后打开MHTML文档,点击超链接,触发漏洞。

图片

图片

参考链接

ddpoc链接:

https://www.ddpoc.com/DVB-2024-8279.html

https://www.welivesecurity.com/en/eset-research/analysis-of-two-arbitrary-code-execution-vulnerabilities-affecting-wps-office/https://nvd.nist.gov/vuln/detail/CVE-2024-7262https://avd.aliyun.com/detail?id=AVD-2024-7262
盛邦安全
关注
PHP-CGI Windows平台远程代码执行漏洞复现(CVE-2024-4577)
0xSec
06-08 3164
2024年6月,PHP官方发布新版本,修复了PHP-CGI中一个远程代码执行漏洞。鉴于该漏洞无前置条件,易于利用,且默认情况下可获取操作系统权限,建议所有使用受影响版本的企业尽快升级修复,以确保安全。
[ vulhub漏洞复现篇 ] struts2远程代码执行漏洞S2-008 (CVE-2012-0391)
qq_51577576的博客
10-15 1136
[ vulhub漏洞复现篇 ] struts2远程代码执行漏洞S2-008 (CVE-2012-0391) S2-008 涉及多个漏洞,主要利用对传入参数没有严格限制,导致多个地方可以执行恶意代码。 第一种情况其实就是 S2-007,在异常处理时的OGNL 执行第二种的cookie的方式,虽然在struts2没有对恶意代码进行限制,但是java的webserver(Tomcat),对cookie 的名称有较多限制,在传入struts2之前就被处理,从而较为鸡肋第三种需要开启devModedebug 模式。
Windows 远程桌面授权服务远程代码执行漏洞CVE-2024-38077)
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
08-10 4051
开启该服务(Windows 远程桌面授权服务)并且操作系统版本在受影响范围的 Windows Server 受影响,没有开启该服务但是操作系统版本在受影响范围的Windows Server 不受影响,Windows 10、Windows 11 等非 Server 版本的操作系统,不论是否开启Windows 远程桌面(RDS),均不受影响。这一漏洞存在于Windows远程桌面许可管理服务(RDL)中,该服务被广泛部署于开启Windows远程桌面(3389端口)的服务器,用于管理远程桌面连接许可。
OpenSSH远程代码执行漏洞CVE-2024-6387)
qq_33163046的博客
07-02 6302
OpenSSH是一套基于安全外壳(SSH)协议的安全网络实用程序,它提供强大的加密功能以确保隐私和安全的文件传输,使其成为远程服务器管理和安全数据通信的必备工具。OpenSSH 自 1995 年问世近 20 年来,首次出现了未经验证的远程执行(RCE)漏洞,攻击者可以提权至 root 最高权限,在不需要用户交互的情况下执行任意代码。该漏洞是由于OpenSSH服务器 (sshd) 中的信号处理程序竞争问题,未经身份验证的攻击者可以利用此漏洞在Linux系统上以root身份执行任意代码
Windows TCP/IP 远程代码执行漏洞CVE-2024-38063)分析与修复
weixin_45408984的博客
08-20 2151
Windows TCP/IP 远程代码执行漏洞CVE-2024-38063)分析与修复
漏洞复现CVE-2024-4577|PHP CGI Windows平台远程代码执行漏洞
信安百科
06-09 1588
漏洞复现CVE-2024-4577|PHP CGI Windows平台远程代码执行漏洞
PHP CGI Windows平台远程代码执行漏洞(CVE-2024-4577)复现
fly夏天的博客
06-14 1258
PHP CGI Windows平台远程代码执行漏洞(CVE-2024-4577)复现
OpenSSH Server远程代码执行漏洞CVE-2024-6387)安全风险通告
qq_18209847的博客
07-04 1798
漏洞名称:OpenSSH Server远程代码执行漏洞漏洞编号:CVE-2024-6387公开时间:2024-7-1CVSS 3.1分数:9.8威胁类型:代码执行漏洞等级: 暂无技术细节状态:已公开在野利用状态:不明确PoC状态:x86已公开OpenSSH是SSH(Secure Shell)协议的开源实现,它支持在两个主机之间提供安全的加密通信,广泛用于Linux等系统,通常用于安全远程登录、远程文件传输和其它网络服务。
PHP-CGI Windows平台远程代码执行漏洞(CVE-2024-4577)
做自己喜欢的事,并将其发挥到极致!
06-11 2183
PHP 在设计时忽略 Windows 中对字符转换的Best-Fit 特性,当 PHP-CGI 运行在Window平台且使用了如下语系(简体中文936/繁体中文950/日文932等)时,攻击者可构造恶意请求绕过 CVE-2012-1823 补丁,从而可在无需登陆的情况下执行任意PHP代码
Windows远程代码执行漏洞CVE-2024-38077)风险公告
qcloud_security的博客
08-09 2683
近期,微软披露一个远程代码执行严重漏洞CVE-2024-38077)。这一漏洞存在于Windows远程桌面许可管理服务(RDL)中,该服务被部署于开启了Windows远程桌面(3389端口)的服务器,用于管理远程桌面连接许可。
WPS(金山文档)与金蝶云星空通过HTTP实现连接
Joey的博客
10-03 483
1.airscript脚本(JS语法) api地址不能为ip地址 且也不能为带端口号的地址。使用airscript脚本需要解决的前置条件。通过登录接口获取sessionid 将其放入headers中调用其他数据接口。接口文档具体看官方或者管理员端的webapi功能。一、两种方式 airscript脚本发送http请求和PY脚本编辑器发送http请求。2.PY脚本编辑器(python语法) 可以直接通过ip地址调用API。WPS(金山文档)通过HTTP与金蝶云星空实现数据互通。
linux桌面软件(wps)内嵌到主窗口后的关闭问题
gaga392464782的专栏
10-06 507
第一种情况:当我们关闭了wps的qt父窗口,而不关闭wps软件界面(比如通过wps右上角的那个关闭按钮)时,虽然wps软件界面没了,但是后台的两个进程都没有关闭,这就导致wps的软件进程处于一种异常状态,这就导致下次打开时,发现完全打不开软件了。问题描述:延续上一篇文章,将wps软件窗口内嵌到qt的窗口后,出现一个棘手的问题,就是无法正常的关闭wps进程,即使表面上关闭了,再次打开并内嵌到主窗口时,会出现打不开wps软件的问题,会发现有wps的僵尸进程。qt主窗口创建该进程,该进程又创建打开pdf的进程。
wps文本框文字居中对齐
m0_69407947的博客
10-08 120
直接点对齐里的水平居中,垂直居中是将文本框水平垂直居中,文字不会居中。
国际 Android WPS Office v18.13 解锁版
wfh132的csdn
10-04 523
WPS Office 移动版,设计不断优化,性能再次提升!融入Google Android最新设计标准,Material Design设计风格,完美支持沉浸式!简化文档操作,全新移动办公力作。全新界面更清晰舒适,功能更自然呈现,文档操作方法简化。支持跨平台、云存储、云协同等特性,增加单手操作、文档漫游、阅读模式、常用功能精简,支持Microsoft Office、PDF等多种办公文档格式的阅读与编辑,完全兼容桌面办公文档。
HengCe-18900-2024-2030中国金属-陶瓷封装管壳市场现状研究分析与发展前景预测报告 -样本.docx
10-08
HengCe-18900-2024-2030中国金属-陶瓷封装管壳市场现状研究分析与发展前景预测报告 -样本.docx
【超强组合】基于人工蜂群优化算法ABC-BP-Adaboost的数据分类预测算法Matlab实现.rar
10-08
1.版本:matlab2014/2019a/2024a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 替换数据可以直接使用,注释清楚,适合新手
2024年普通高等学校招生“圆梦杯”统一模拟考试试题(六).pdf
最新发布
10-08
2024年普通高等学校招生“圆梦杯”统一模拟考试试题(六).pdf
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值