【最后的披露】WPS For Linux RCE(CNVD-2021-35581)

0x00 关于本文

    再过五个小时,在国内进行漏洞披露将有法律风险,趁着最后的时间,公布下之前搞出的一个微不足道的小洞


0x01 怎么就RCE了呢?

    WPS Linux可以双击打开嵌入的附件而不管附件的类型
    而许多Linux桌面都支持双击打开.desktop 
    因此把.desktop嵌入docx再搞成透明的就可以了

0x02 如何做一个POC

    随便office word搞个文档,嵌入.desktop(Linux WPS自己不能嵌)。
    把嵌入的图片搞成透明的,并且拖到全屏,置为底层就可以了(这个需要去解包word文件乱搞一通实现,但是如果只是想演示而不需要武器化的话没必要)

0x03 测试

    这里已经制作了一个简单的POC,并且上传至GitHub
    WPS LINUX (11.1.0.10161) 
    测试的系统是kali Linux 2020 
    桌面XFCE 
    POC.docx是POC 打开后随便双击任何一个地方都能弹出计算器
    暂时我的Kali机器没在身边,想到了再补图

评论

  1. 大佬是怎么嵌入desktop的,是embeddings文件夹下的bin文件吗

    回复删除
    回复
    1. 我直接用Windows上Office Word嵌入的

      删除
  2. 大佬,poc打开后释放的desktop文件没执行权限,系统只会用文本编辑器打开,执行不了,这个是怎么解决的

    回复删除

发表评论

此博客中的热门博文

局域网监控软件WFilter ICF 鸡肋0day RCE漏洞挖掘

别想偷我源码:通用的针对源码泄露利用程序的反制(常见工具集体沦陷)

复现基于eBPF实现的Docker逃逸