xsirsec的博客

原创 关于对2023HW wps rce 引发的免杀思路构想

如果某个软件也存在类似具有加载远程功能的拓展插件、功能、超链接等，是否可以引申出相关的RCE问题。在受害者点击相关的docx文档后，触发加载远程恶意ip的html文件。解析为加载远程的clientweb.docer.wps.cn.****wps.cn。攻击者购买域名****wps.cn后，解析为clientweb.docer.wps.cn.****wps.cn。第一次发表此类文章，刚学完相关的服务攻防，后续学到免杀类章节会丰富自己的思路，请大家多多支持吧。实现shellcode和文档分离的免杀上线思路。