关于网传WPS-POC存在后门的浅析

近日有兄弟反馈，获得到的WPS RCE的poc里面有一张image1.png的图片，该图片疑似后门，怀疑是图片隐写技术搞的马子。

下面是兄弟通过微步看到的信息，以及火绒剑的信息

文件调用信凭证

本着独立判断，大胆假设，小心求助的思维，笔者在本地进行了一系列的查看

首先想要看这个样本，只需要把poc.docx文件后缀修改为zip格式然后直接解压即可

WPS漏洞利用pocpocwordmedia  .xxx是笔者加的后缀，防止手欠

这里面笔者利用了binwalk工具、查壳工具、winhex、ida进行了查看，没有看出来有什么奇怪的地方，下图为ida查看的内容

正如你所看到的那样，什么都没看出来，加壳也是没有，也没有捆东西，可能是笔者太菜，不会弄，这个图片移除之后的确没有影响测试，之后笔者利用通信的地址查看是什么进程在通信

最后定位到PhoneExperienceHost.exe 进程

C:Program FilesWindowsAppsMicrosoft.YourPhone_1.23062.153.0_x64__8wekyb3d8bbwe

发现这个其实是人家微软为了提升用户体验的一个程序

笔者将这个图片移除掉之后重新封包，发现不影响测试，同时通信也没了

此时，再重新打开这个没删图片的poc文件，通信也不出来了

最后就是，有好兄弟反馈，说复现不成功的，注意使用的版本，由于你是在本地测试的，你没有购买特定的域名，这个漏洞复现需要特定的域名才行，所以才需要在本地的hosts文件进行一个映射

还有兄弟说，自从弹了一次http.server之后，以后再也没有弹过log了，这个问题大家可以通过更改请求的地址解决，比如说你第一次用的clientweb.docer.wps.cn.demowps.cn   ，第二次你可以换一个clientweb.docer.wps.cn.demoddwps.cn   

至于为什么后续关闭了HTTP.server，但是计算器还是能弹出来，这个问题其实是shellcode嵌入到内存里了，因为http.server的本质是让你能访问到本地的服务区下载1.html这个文件，而不是触发漏洞的主要原因

emmm乌龙了，无异常，收队

放心大胆的在虚拟机里用吧，没毒

原文始发于微信公众号（我不懂安全）：关于网传WPS-POC存在后门的浅析