关于网传WPS-POC存在后门的浅析

渗透技巧 1年前 (2023) admin
320 0 0

近日有兄弟反馈,获得到的WPS RCE的poc里面有一张image1.png的图片,该图片疑似后门,怀疑是图片隐写技术搞的马子。

下面是兄弟通过微步看到的信息,以及火绒剑的信息

关于网传WPS-POC存在后门的浅析

关于网传WPS-POC存在后门的浅析

关于网传WPS-POC存在后门的浅析

文件调用信凭证

关于网传WPS-POC存在后门的浅析

本着独立判断,大胆假设,小心求助的思维,笔者在本地进行了一系列的查看

首先想要看这个样本,只需要把poc.docx文件后缀修改为zip格式然后直接解压即可

WPS漏洞利用pocpocwordmedia  .xxx是笔者加的后缀,防止手欠

关于网传WPS-POC存在后门的浅析

这里面笔者利用了binwalk工具、查壳工具、winhex、ida进行了查看,没有看出来有什么奇怪的地方,下图为ida查看的内容

关于网传WPS-POC存在后门的浅析

正如你所看到的那样,什么都没看出来,加壳也是没有,也没有捆东西,可能是笔者太菜,不会弄,这个图片移除之后的确没有影响测试,之后笔者利用通信的地址查看是什么进程在通信

关于网传WPS-POC存在后门的浅析

最后定位到PhoneExperienceHost.exe 进程

C:Program FilesWindowsAppsMicrosoft.YourPhone_1.23062.153.0_x64__8wekyb3d8bbwe

关于网传WPS-POC存在后门的浅析

发现这个其实是人家微软为了提升用户体验的一个程序

关于网传WPS-POC存在后门的浅析

笔者将这个图片移除掉之后重新封包,发现不影响测试,同时通信也没了

关于网传WPS-POC存在后门的浅析

此时,再重新打开这个没删图片的poc文件,通信也不出来了


最后就是,有好兄弟反馈,说复现不成功的,注意使用的版本,由于你是在本地测试的,你没有购买特定的域名,这个漏洞复现需要特定的域名才行,所以才需要在本地的hosts文件进行一个映射

还有兄弟说,自从弹了一次http.server之后,以后再也没有弹过log了,这个问题大家可以通过更改请求的地址解决,比如说你第一次用的clientweb.docer.wps.cn.demowps.cn   ,第二次你可以换一个clientweb.docer.wps.cn.demoddwps.cn   

至于为什么后续关闭了HTTP.server,但是计算器还是能弹出来,这个问题其实是shellcode嵌入到内存里了,因为http.server的本质是让你能访问到本地的服务区下载1.html这个文件,而不是触发漏洞的主要原因



emmm乌龙了,无异常,收队

放心大胆的在虚拟机里用吧,没毒

原文始发于微信公众号(我不懂安全):关于网传WPS-POC存在后门的浅析

版权声明:admin 发表于 2023年8月11日 下午3:53。
转载请注明:关于网传WPS-POC存在后门的浅析 | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...