【WPS提权】WPS Office CVE-2022-25943漏洞分析与复现

admin 2022年4月22日23:54:37评论350 views字数 2081阅读6分56秒阅读模式
【WPS提权】WPS Office CVE-2022-25943漏洞分析与复现

漏洞概述

【WPS提权】WPS Office CVE-2022-25943漏洞分析与复现

WPS Office安装时,会以管理员权限安装服务程序wpscloudsvr,该服务程序配置为手动启动,但错误配置了该服务程序所在文件夹的访问控制列表(ACL)属性,普通Users组成员仍然对该文件夹有读写权限。

【WPS提权】WPS Office CVE-2022-25943漏洞分析与复现

影响范围

【WPS提权】WPS Office CVE-2022-25943漏洞分析与复现

WPS Office版本小于11.2.0.10258均存在该漏洞。
(WPS版本号看最后一组,最后一组数字大即为新版本,11.1表示个人版,11.2表示企业版,11.6和11.8表示政企定制版)

【WPS提权】WPS Office CVE-2022-25943漏洞分析与复现

利用场景

【WPS提权】WPS Office CVE-2022-25943漏洞分析与复现

普通Users组成员在服务程序wpscloudsvr所在文件夹放置被劫持的DLL文件,以普通用户权限启动该服务,最终DLL被服务程序加载执行,实现本地提权


(wpscloudsvr服务程序自身并不存在DLL劫持漏洞,可使用系统DLL劫持漏洞,测试时win7 6.1.7601 sp1 32位系统存在可被利用的系统DLL劫持漏洞,win10 10.0.18363.592 64位不存在可被利用的DLL劫持漏洞)

【WPS提权】WPS Office CVE-2022-25943漏洞分析与复现

复现环境

【WPS提权】WPS Office CVE-2022-25943漏洞分析与复现

操作系统:
Win7 6.1.7601 sp1 32位
WPS Office版本:
WPS Office 11.2.0.10200
复现工具:
Process Explorer,Process Monitor,CFF Explorer,vs2008

【WPS提权】WPS Office CVE-2022-25943漏洞分析与复现

分析过程

【WPS提权】WPS Office CVE-2022-25943漏洞分析与复现

首先使用普通Users组用户登录windows系统,如下图所示。
【WPS提权】WPS Office CVE-2022-25943漏洞分析与复现
安装WPS Office 11.2.0.10200.exe程序,安装好后可以看到已经安装了一个名为wpscloudsvr的服务程序,服务程序路径为C:ProgramDataKingsoftoffice6wpscloudsvr.exe,该服务配置为手动启动,启动后以System权限运行,如下图所示。
【WPS提权】WPS Office CVE-2022-25943漏洞分析与复现
【WPS提权】WPS Office CVE-2022-25943漏洞分析与复现
使用icalcs命令查看服务程序所在文件夹的ACL属性,发现普通Users组成员对该路径有写入数据或者添加文件(WD)权限,如下图所示。
【WPS提权】WPS Office CVE-2022-25943漏洞分析与复现
使用CFF Explorer查看服务程序C:ProgramDataKingsoftoffice6wpscloudsvr.exe的导入表,发现只有KERNEL32.dll,无可被劫持的DLL,如下图所示。
【WPS提权】WPS Office CVE-2022-25943漏洞分析与复现
使用监控工具Process Monitor监控服务程序C:ProgramDataKingsoftoffice6wpscloudsvr.exe的运行过程,发现可被劫持的DLL文件有cryptsp.dll,cryptbase.dl等,如下图所示。
【WPS提权】WPS Office CVE-2022-25943漏洞分析与复现
所以,可以用普通Users组用户权限在服务程序C:ProgramDataKingsoftoffice6wpscloudsvr.exe同目录下放置被劫持的cryptsp.dll文件,然后启动wpscloudsvr服务,加载运行被劫持的cryptsp.dll,实现普通用户权限提升到系统权限。

【WPS提权】WPS Office CVE-2022-25943漏洞分析与复现

复现过程

【WPS提权】WPS Office CVE-2022-25943漏洞分析与复现

为简单起见,复现代码借鉴自https://github.com/HadiMed/KINGSOFT-WPS-Office-LPE,演示本地提权。这里主要阐述下这部分代码的逻辑。

首先需要编译被劫持的cryptsp.dll文件。在该DLL运行时,激活系统超级管理员,并修改其密码,以备后续登录使用,如下图所示。

【WPS提权】WPS Office CVE-2022-25943漏洞分析与复现
然后编译exploit.exe利用程序。该程序运行时,复制编译好的cryptsp.dll文件到C:ProgramDataKingsoftoffice6wpscloudsvr.exe同目录下,然后启动wpscloudsvr服务程序,以便运行被劫持的cryptsp.dll文件,实现激活系统超级管理员,并修改其密码的功能,如下图所示。
【WPS提权】WPS Office CVE-2022-25943漏洞分析与复现
然后使用该系统超级管理员登录系统,并此账号权限运行另一利用程序nt_sys.exe,如下图所示。
【WPS提权】WPS Office CVE-2022-25943漏洞分析与复现
【WPS提权】WPS Office CVE-2022-25943漏洞分析与复现
最后编译nt_sys.exe利用程序。该程序运行时,首先设置自身权限为SeDebugPrivilege,然后打开winlogon.exe进程(该进程为System权限),获取其Token,最后以此Token创建C:WindowsSystem32cmd.exe进程,实现提权,如下图所示。
【WPS提权】WPS Office CVE-2022-25943漏洞分析与复现
【WPS提权】WPS Office CVE-2022-25943漏洞分析与复现
编译好后,应该有cryptsp.dll,exploit.exe,nt_sys.exe三个程序,将其放到同一目录下,以普通用户权限运行exploit.exe,利用该漏洞,可以实现以system权限运行cmd.exe,实现提权,如下图所示。
【WPS提权】WPS Office CVE-2022-25943漏洞分析与复现

备注:
公众号回复“CVE-2022-25943”可获取该漏洞研究相关工具。


由于传播、利用此提供的信息而造成任何直接或间接的后果及损害,均由使用本人负责,本公众号及文章作者不为此承担任何责任。

【WPS提权】WPS Office CVE-2022-25943漏洞分析与复现

参考链接

【WPS提权】WPS Office CVE-2022-25943漏洞分析与复现

https://github.com/HadiMed/KINGSOFT-WPS-Office-LPE
https://jvn.jp/en/vu/JVNVU90673830/
https://www.cvedetails.com/cve/CVE-2022-25943/?q=CVE-2022-25943

原文始发于微信公众号(Beacon Tower Lab):【WPS提权】WPS Office CVE-2022-25943漏洞分析与复现

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月22日23:54:37
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【WPS提权】WPS Office CVE-2022-25943漏洞分析与复现https://cn-sec.com/archives/935968.html

发表评论

匿名网友 填写信息