首页
叉叉叉
hhhh
婷婷
www.色色
哥哥姐姐综合亚洲
色情噜噜网

婷婷

你的位置:陈凯歌 男同 > 婷婷 > 丝袜 内射 WPS Office从旅途穿越到良友代码实施破绽(CVE-2024-7262)分析与复现

丝袜 内射 WPS Office从旅途穿越到良友代码实施破绽(CVE-2024-7262)分析与复现

发布日期:2024-10-09 23:09    点击次数:199

丝袜 内射 WPS Office从旅途穿越到良友代码实施破绽(CVE-2024-7262)分析与复现

破绽概括丝袜 内射

WPS Office 款式 promecefpluginhost.exe 存在不妥旅途考据问题,允许膺惩者在 Windows 上加载恣意 Windows 库文献。该破绽已被 APT-C-60 膺惩者哄骗,当用户掀开 MHTML 时势的文档时,只需单击一个坏心制作的超连气儿,即可实施膺惩者指定的坏心库文献,竣事良友代码实施。

文爱 胸 小熊饼干

影响范围

WPS Office 版块 12.2.0.13110-12.2.0.16412

复现环境

操作系统:Win10   10.0.18363.592 WPS   Office 版块:WPS   Office   12.2.0.13110

分析流程

WPS 款式装配后注册了一个名为 ksoqing 的自界说 URL 条约,注册表旅途为:策画机 HKEY_CLASSES_ROOTksoqingshellopencommand,其执行为 "C:Users【用户名】AppDataLocalKingsoftWPS Office12.2.0.13110office6wps.exe" /qingbangong "%1"。即拜谒以 ksoqing 开首的 URL 条约时,将开动 wps.exe 款式,并传递 /qingbangong 参数,%1 则被替换为以 ksoqing 开首的条约连气儿,一并手脚 wps 开动的参数。

此时 wps.exe 款式理解参数 /qingbangong,并将 ksoqing 连气儿执行一并发送到 C:Users【用户名】AppDataLocalKingsoftWPS Office12.2.0.13110office6wpscloudsvr.exe

wpscloudsvr.exe 中的 qingbangong.dll 理解自界说 URL 连气儿执行。当 type 参数为 ksolaunch 时,将开动 launchname 参数指定的款式,参数使用 base64 编码。

launchname 参数指定的款式开动时,wpscloudsvr.exe 会将 URL 连气儿中的 cmd 参数使用 base64 解码,然后传递给它。

如若 launchname 参数指定的是 promecefpluginhost.exe,该款式开动后,将加载 ksojscore.dll,然后理解大叫行中的 -JSCefServicePath。

这个参数不错指定一个文献名,这个文献会被 kso_qt::QLibrary::load 函数加载到内存实施。默许情况下,如若仅仅指定一个文献名,会按照 DLL 搜索端正搜索和加载这个文献,比如加载同 EXE 目次下指定的 DLL 文献。可是这个参数未作念任何过滤,不错指定" .. "包含目次的旅途,存在旅途穿越破绽,不错加载恣意指定的 DLL 文献,最终竣事恣意代码实施。

使用旅途穿越的破绽不错加载指定 DLL 文献,但这还不够。APT-C-60 膺惩者使用 MHTML 时势的 xls 电子表格文献,哄骗其特质,竣事下载良友 DLL 文献的见识。WPS 维持 MHTML 时势的文档,这种文档不错包含 HTML、CSS 和 JavaScript 等文献,陋劣在浏览器中领会文档。

文档中不错使用 img 标签,指定良友 DLL 文献。

当文档被掀开时,wps 使用 _XUrlDownloadToCacheFile 函数下载文献到 temp 目次下的 wpsINetCache 目次中。

下载后的文献名,使用的是下载连气儿(UNICODE 编码)的 MD5 值。

最终互助上述旅途穿越破绽,在 -JSCefServicePath 参数中指定下载的文献名,竣事良友代码实施。这里还有一个小手段,因为下载后的文献名并莫得 .dll 后缀,而在加载的技术如若莫得指定 .dll 后缀,会自动补上该后缀再加载。为了幸免在加载的技术找不到指定文献导致失败,在 -JSCefServicePath 参数中指定下载的文献名时,需要在文献名终末异常加个" . "。

破绽复现

新建 xls 时势的文档,添加超连气儿,超连气儿可恣意,并另存为 MHTML 时势的文档。

把柄良友 DLL 的下载连气儿,使用 poc.py 策画下载后的文献名,并最毕生成 ksoqing 条约连气儿。

将 ksoqing 连气儿替换导出的 MHTML 时势文档中的超连气儿。

再把柄良友 DLL 的下载连气儿,添加 img 标签,竣事良友下载 DLL 文献。

开启良友 DLL 下载劳动,然后掀开 MHTML 文档,点击超连气儿,触发破绽。

参考连气儿

ddpoc 连气儿:

https://www.ddpoc.com/DVB-2024-8279.html

https://www.welivesecurity.com/en/eset-research/analysis-of-two-arbitrary-code-execution-vulnerabilities-affecting-wps-office/

https://nvd.nist.gov/vuln/detail/CVE-2024-7262

https://avd.aliyun.com/detail?id=AVD-2024-7262

原文连气儿丝袜 内射



Powered by 陈凯歌 男同 @2013-2022 RSS地图 HTML地图

Copyright Powered by365站群 © 2013-2024