WPS Office RCE(QVD-2023-17241)漏洞复现上线CS

已于 2024-07-23 16:37:02 修改
阅读量277 收藏 3
点赞数 10
文章标签: wps 安全 c# web安全
于 2024-07-23 16:20:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_70535581/article/details/140636950
版权

一、复现过程

影响版本

WPS Office 2023个人版<11.1.0.15120

WPS Office 2019企业版<11.8.2.12085

  修改配合联动上线CS

-修改html中的shellcode(C#)

-修改docx中的指向连接URL

-修改hosts绑定执行域名规则

漏洞触发需让域名规则满足clientweb.docer.wps.cn.{xxxxx}wps.cn

1、客户机下载符合版本的wps,设置host文件使攻击机ip指定该域名 “clientweb.docer.wps.cn.cloudwps.cn”。

例:192.168.196.30  clientweb.docer.wps.cn.cloudwps.cn

2、在攻击机搭建一个web服务器 。

3、使用CS生成一个payload,并替换1.html内的shellcode,然后放到当前目录下(网上一个可以弹计算器的payload)。

4、再修改一下poc.DOCX,将原来的http://clientweb.docer.wps.cn.cloudwps.cn/1.html加个端口也就是上面起的那个端口。点击这个poc文档之后相当于去访问了自己服务器下的1.html,1.html内的shellcode又是刚刚cs生成的上线payload。

5、客户机点击刚刚poc.docx,可以看见受害者请求了我们的1.html。

6、回到CS这边发现已经上线了。

7、实战利用

购买***wps.cn的域名:由于wps的限制,当我们加载第三方网站的html时,wps会进行提醒,在WPS中,wps.cn的域名是在白名单中的,只要我们加载的资源在wps.cn的网站中,就不会有这个提示。

购买域名和vps后,需要把子域名 clientweb.docer.wps.cn.***wps.cn解析到购买的 vps上,尽量套一层cdn,再使用nginx反向代理到搭建的服务上,这里的子域名,必须为 clientweb.docer.wps.cn.***wps.cn,不然无法过白名单。

实战中:申请{xxxxx}wps.cn域名

增加解析clientweb.docer.wps.cn.{xxxxx}wps.cn ip上面

IP架设1.html网站服务,修改1.html替换上线shellcode

Apache Druid RCE漏洞复现(QVD-2023-9629)
0xSec
04-26 4540
在Apache Druid使用Apache Kafka加载数据的场景下,未经身份认证的远程攻击者可配置Kafka连接属性,从而利用CVE-2023-25194漏洞触发JNDI注入,最终执行任意代码
漏洞复现2023HVV WPS Office 远程代码执行漏洞(RCE)
做自己喜欢的事,并将其发挥到极致!
09-08 3110
Office中的WebExtension是一种用于扩展Microsoft Office功能的技术。Office插件使第三方开发者能够在Office应用程序中集成自己的服务和功能。这些插件采用跨平台的Web技术(如HTML,CSS和JavaScript)开发,可以在不同的平台和设备上运行。简单理解就是Office内置了一个浏览器,可以解析html/javascript/css代码,本次的漏洞,就是WPS在处理WebExtension时,未能正确的处理javascript代码,造成了溢出RCE
WPS Office 代码执行漏洞(QVD-2023-17241)
08-13
WPS Office 代码执行漏洞(QVD-2023-17241)
WPS Office RCE 漏洞利用工具使用教程
gitblog_00597的博客
09-15 691
WPS Office RCE 漏洞利用工具使用教程 wps-rce WPS Office RCE On 2023-08-10 项目地址: https://gitcode.com/gh_mirrors/wp/wps-rce ...
微信|0day|无沙箱调用Chrome內核RCE漏洞上线CS漏洞复现
Bluffing的博客
04-19 1183
条件: Windows微信版本<3.2.1.141 整体思路: cs客户端链接服务器 cs生成马,粘贴到js文件中,将js文件和html文件上传到服务器上搭建的网站中 将网站链接通过微信发给小A 小A使用pc版微信点击链接 cs上线 操作步骤: 1 CS客户端链接服务器 2 构造恶意js 2.1 cs生成马 新建监听 生成payload保存 2.2 添加进js文件 将payload.cs中的代码加入到js文件的shellcode中 2.3 将js文件和调用js的html文件放到公网服务器
2023HVV|WPS Office 远程代码执行漏洞(RCE)
m0_60884805的博客
09-28 689
Office中的WebExtension(通常称为Office插件或Office应用程序) 是一种用于扩展Microsoft Office功能的技术。简单理解就是Office内置了一个浏览器,可以解析html/javascript/css代码,本次的漏洞,就是WPS在处理WebExtension时,未能正确的处理javascript代码,造成了溢出RCE(可参考之前Chrome被曝出的RCE漏洞、微信Windows版
Smartbi 权限绕过漏洞复现QVD-2023-17461)
0xSec
08-09 2978
Smartbi在特定情况下可被获取用户token,未经授权的攻击者可通过这种方式获取管理员权限,从而以管理员权限接管后台,进一步利用可实现任意代码执行。利用此漏洞需目标可出网。
某赛通电子文档安全管理系统 RCE(QVD-2023-19262)
weixin_43567873的博客
03-20 85
某赛通电子文档安全管理系统 RCE(QVD-2023-19262)
安达通 TPN-2G 安全网关 RCE漏洞复现(XVE-2023-25574)
0xSec
05-16 682
在安达通 TPN-2G 安全网关中发现了一处远程代码执行漏洞,攻击者可以通过admin_getLisence接口直接恶意的表达式执行shell命令,获取服务器权限。 经过分析与研判,该漏洞利用难度低,能够造成远程命令执行,建议尽快修复。
HVV爆火漏洞:最新 WPS RCE (远程命令执行) 复现
xnxqwzy的博客
10-08 298
最近HVV爆出的很火的WPS命令执行漏洞,其实并不是0DAY,早在2019年就出现了,只不过最近EXP才公开。接下来我们来复现一遍。
探秘WPS Office RCE安全漏洞与高效利用
gitblog_00025的博客
06-08 517
探秘WPS Office RCE安全漏洞与高效利用 wps-rce WPS Office RCE On 2023-08-10 项目地址: https://gitcode.com/gh_mirrors/wp/wps-rce ...
巴扎嘿的小研究-rce之后咋上线
weixin_43183608的博客
03-30 287
rce以后该如何shell呢
WSO2 文件上传 (CVE-2022-29464)漏洞复现
最新发布
09-24
漏洞源于身份服务器中的文件上传功能存在未经验证的处理,攻击者可以利用它上传恶意脚本或文件,进而可能导致远程代码执行RCE)。复现这个漏洞通常需要以下几个步骤: 1. **环境准备**:首先,你需要安装受影响...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值