WooYun.org

中间人漏洞我目前发现有三个类型，WPS Office在这三类漏洞都有，非常经典。
类型一：用了HTTPS，但是未校验TLS证书。常见于软件内的登录界面。
类型二：自动下载可执行文件，未经校验就执行。常见于自动更新。
类型三：使用IE WebBrowser控件显示界面，网页内容可被中间人劫持，并且提供高权限接口给网页。
WooYun: WPS Office可被中间人攻击执行任意代码（需要一定条件） 讨论的就是类型一和二。这一报告讨论类型三。
类型三的背景是WebBrowser中的HTML页面通过window.external调用宿主程序的函数[1]。如果宿主程序将诸如文件读写、执行程序、注册表读写等函数提供给页面，如果不全程HTTPS的话，中间人就能够利用这些函数，严重情况可导致执行任意代码。
下面我们来看WPS Office，首先我们在运行WPS Office之前，打开Fiddler抓包。我们可以从抓来的请求中搜索window.external这一关键词。很快我发现window.external.WriteSetting("wreg", "<键值>")可以用来写Windows注册表。我又发现运行WPS时，有时会打开“WPS热点”，每天一次。WPS热点正是用了WebBrowser，所以接下来中间人只需劫持任意WPS热点的HTML请求（比如http://img1.mini.cache.wps.cn/wpsmini/partners_web/special_buy/
)，注入WriteSetting，注册表就可以任意改了，而且无需用户交互，在加载页面时就会执行，不需要点通知栏里闪烁的图标。当然因为WPS没有管理员权限，我们只能改HKEY_CURRENT_USER下的键值。通过修改注册表达到任意代码执行应该是不难的。我的方法是修改开机启动项，当然我相信还有更好的方法，不过这就不是这个漏洞的重点了。
所以说如果用户在中间人控制的情况下刚刚打开WPS Office，那么下次开机时就会执行恶意代码。
参考文档：
[1] https://msdn.microsoft.com/en-us/library/system.windows.forms.webbrowser.objectforscripting(v=vs.110).aspx