0x01 漏洞描述
WPS Office for windows的内置浏览界存在逻辑漏洞,攻击者可以利用该漏洞专门构造出恶意文档,受害者打开该文档并点击文档中的URL链接或包舍了超级链接的图片时,存在漏洞版本的WPSorrice会通过内嵌浏览器加载该链接,接着该链接中js脚本会通过cefOuery调用WPS端内API下载文件并打开文件,进而导致恶意文件在受害者电脑上被运行。
![图片[1]-2023最新金山wps恶意文件执行复现,附poc-安全小天地](https://www.anquanclub.cn/wp-content/uploads/2023/08/d2b5ca33bd154958.png)
0x02 影响版本
- WPS Office 2023 个人版< 11.1.0.15120
- WPS Office 2019 企业版< 11.8.212085
0x03 漏洞复现
修改本地host文件
127.0.0.1 clientweb.docer.wps.cn.cloudwps.cn
127.0.0.1 clientweb.docer.wps.cn.hellowps.cn![图片[2]-2023最新金山wps恶意文件执行复现,附poc-安全小天地](https://www.anquanclub.cn/wp-content/uploads/2023/08/d2b5ca33bd154320.png)
在当前目录监听http.server
python -m http.server 80![图片[3]-2023最新金山wps恶意文件执行复现,附poc-安全小天地](https://www.anquanclub.cn/wp-content/uploads/2023/08/d2b5ca33bd154408.png)
![图片[4]-2023最新金山wps恶意文件执行复现,附poc-安全小天地](https://www.anquanclub.cn/wp-content/uploads/2023/08/d2b5ca33bd154445.png)
点击构造的POC文件
![图片[5]-2023最新金山wps恶意文件执行复现,附poc-安全小天地](https://www.anquanclub.cn/wp-content/uploads/2023/08/d2b5ca33bd154628.png)
复现完毕
0x04 缓解措施
1、请不要随意打开PPS、PPSX、PPT、PPTX、DOC、DOCX、XLS、XLSX 文档
2、请勿随意点击 PPS、PPSX、PPT、PPTX、DOC、DOCX、XLS、XLSX文档中的 URL 链接或带 URL 超级链接的图片或视频等
3、如果使用 WPS 打开PDF 文件,请勿随意点击 PDF中的 URL链接或超级链接
4,官方已发布相关补丁,如果您在使用 WPS Office 的企业版请尽快联系官方技术工程师或客服获取最新版本,并确保企业版升级到11.8.2.12085:如果您使用的是 WPS Office 个人版,请通过WPS官网https;/www.wps.cn/ 获取最新版本进行升级
0x05 资源获取
WPS漏洞复现 程序及POC
0x06 wps实战演示(上线CS)
通过上面的演示,我们可以大概了解到这个复现过程类似于免杀里面的 远程调用,具体调用的文件为:1.html
造成的原因主要是 wps内置插入功能,可以远程调用网页,然后当我们调用恶意网页内容时间,既可以执行我们的恶意命令实现cs上线
下面使用虚拟机进行演示
- 192.168.222.128 kali 攻击机
- 192.168.222.149 windows 10 靶机
需要注意的是,每次跟新1.html之后 都需要重新安装wps,避免内存载入导致的缓存问题,导致漏洞复现不成功
暂无评论内容