当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-079519

漏洞标题:搜狗输入法设计缺陷助我成功提权

相关厂商:搜狗

漏洞作者: goubuli

提交时间:2014-10-15 20:16

修复时间:2015-01-13 20:18

公开时间:2015-01-13 20:18

漏洞类型:设计错误/逻辑缺陷

危害等级:中

自评Rank:7

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-10-15: 细节已通知厂商并且等待厂商处理中
2014-10-18: 厂商已经确认,细节仅向厂商公开
2014-10-21: 细节向第三方安全合作伙伴开放
2014-12-12: 细节向核心白帽子及相关领域专家公开
2014-12-22: 细节向普通白帽子公开
2015-01-01: 细节向实习白帽子公开
2015-01-13: 细节向公众公开

简要描述:

装机量如此之大,甚至很多服务上都会发现搜狗的输入法。依稀记得微软经典的输入法漏洞,这个当然不能与它相提并论了。。。

详细说明:

之前搞了没有权限的shell,当时由于提权不成功,也就扔在那儿了。。。这几天翻看菜刀发现shell还在,依旧没有权限

1014_1.png


没有权限。。。手头提权工具搞不定啊。。。
看看进程。。。装了很多软件,SVN、WAMP、JAVA、Oracle等等主要还是装了360.。。肯定是把工具给干了!!!再看看发现有搜狗输入法。。

1014_2.png


这个是我好早之前就发现的问题,一直没想到利用,今天终于派上用场了。
主要问题是:由于搜狗输入法默认设置是自动更新(很少有人去更改这个设置),更新程序没有对exe做任何校验直接在输入法升级时调用运行,导致可以执行恶意代码。

1014_8.png


本地测试,整个计算器(calc.exe)改名为:PinyinUp.exe

1014_7.png


等了好久(这个更新时间间隔忘记是多少了),可爱的“计算器”就在那儿显示着。。。

1014_9.png


成功执行。。。。
后面的提权操作,直接上图了。。。。

1014_3.png


1014_4.png


过了一段时间以后。。。

1014_6.png


1014_10.png


下面操作略。。。
我在以前5.x的版本好像就发现过,那个时候没当回事,觉得这个太鸡肋肯定用不到,今天突然想到,作为白帽子还是提交了吧。。。

漏洞证明:

1014_6.png

1014_7.png

1014_8.png

1014_9.png

1014_10.png

修复方案:

加文件校验或文件hash对比

版权声明:转载请注明来源 goubuli@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:5

确认时间:2014-10-18 22:52

厂商回复:

感谢支持,欢迎到SGSRC平台提交漏洞。

最新状态:

暂无

漏洞评价:

评论

  1. 2014-10-15 20:19 | YY-2012 ( 普通白帽子 | Rank:2763 漏洞数:641 | 意淫,是《红楼梦》原创的词汇,但后来演变...)

    又是win7,win8,win10 ?

  2. 2014-10-15 20:27 | 爱上平顶山 认证白帽子 ( 核心白帽子 | Rank:2738 漏洞数:547 | [不戴帽子]异乡过客.曾就职于天朝某机构.IT...)

    hehe

  3. 2014-10-15 20:33 | goubuli ( 普通白帽子 | Rank:324 漏洞数:61 )

    @YY-2012 只针对搜狗输入法,不针对特定系统,这个问题一直有。

  4. 2014-10-15 21:52 | 雷锋 ( 路人 | Rank:12 漏洞数:2 | 承接:钻井,架工,木工,电工,水暖工,力...)

    别滴输入法捏

  5. 2014-10-16 09:04 | HackBraid 认证白帽子 ( 核心白帽子 | Rank:1545 漏洞数:260 | ...........................................)

    厉害~

  6. 2014-10-16 11:57 | B1acken ( 普通白帽子 | Rank:174 漏洞数:56 | 渣渣)

    略屌

  7. 2014-10-19 15:29 | Knight ( 实习白帽子 | Rank:38 漏洞数:10 | 刚刚上洗手间,看到一个玉树临风的少年,气...)

    感觉和我那个漏洞是一样一样的。

  8. 2014-11-10 21:34 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    jsp的shell?要不应该权限不会太高啊,不一定可以替换

  9. 2014-11-10 21:44 | goubuli ( 普通白帽子 | Rank:324 漏洞数:61 )

    @wefgod 对的,环境苛刻。但是只要访问C盘没问题就可以的。搜狗输入法那个目录没有特殊限制

  10. 2014-11-11 15:30 | 小包子 ( 普通白帽子 | Rank:100 漏洞数:19 | 关注技术与网络安全)

    后来用的什么替换了pinyinup.exe提权的?

  11. 2014-11-11 16:06 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    @小包子 看图的意思应该是

  12. 2014-11-11 16:15 | 小包子 ( 普通白帽子 | Rank:100 漏洞数:19 | 关注技术与网络安全)

    @wefgod 哦,明白了,添加了个账户。。。

  13. 2014-12-04 07:27 | Coffee ( 普通白帽子 | Rank:144 漏洞数:15 | Corie, a student of RDFZ.)

    思路不错~

  14. 2014-12-05 14:37 | 小r00to1 ( 普通白帽子 | Rank:138 漏洞数:42 )

    确实很好。。。

  15. 2015-01-13 20:26 | Jumbo ( 普通白帽子 | Rank:111 漏洞数:29 | 猫 - http://www.chinabaiker.com)

    @goubuli 自动更新就运行我们的PinyinUp.exe?然后PinyinUp.exe是添加用户的?难道360不会报警吗

  16. 2015-01-13 20:42 | goubuli ( 普通白帽子 | Rank:324 漏洞数:61 )

    @Jumbo 你随便debug一个exe添加用户,第一次执行的时候你看看360会不会报警。。。

  17. 2015-01-13 20:42 | plane636 ( 普通白帽子 | Rank:160 漏洞数:16 )

    这个漏洞有年头了,竟然还没修复

  18. 2015-01-13 20:51 | goubuli ( 普通白帽子 | Rank:324 漏洞数:61 )

    @plane636 O(∩_∩)O~ o(╯□╰)o

  19. 2015-01-13 21:59 | 黑吃黑 ( 普通白帽子 | Rank:139 漏洞数:29 | 倚楼听风雨,淡看江湖路...)

    学习了

  20. 2015-01-13 23:37 | 曙光的希望 ( 路人 | Rank:4 漏洞数:1 | 曙光的希望)

    我好想知道 那是要等多久啊

  21. 2015-01-14 00:41 | diguoji ( 普通白帽子 | Rank:323 漏洞数:79 | 中国吉林长春)

    @曙光的希望 等到输入法升级

  22. 2015-01-14 01:35 | 05XS ( 路人 | Rank:1 漏洞数:5 | 总是拿着微不足道的成就来骗自己)

    真吊。

  23. 2015-01-14 09:51 | BMa ( 普通白帽子 | Rank:1776 漏洞数:200 )

    这不是老早就存在的? - - !

  24. 2015-01-14 11:34 | 小虾米 ( 路人 | Rank:4 漏洞数:3 | 刚开始学习安全的一名学生,希望可以快速的...)

    学习了

  25. 2015-01-14 11:39 | 爱梅小礼 ( 实习白帽子 | Rank:93 漏洞数:16 | 我怀念的是无话不说)

    输入法主程序目录下能有写权限吗?既然权限都这么大了不如替换主程序好了。表示怀疑。

  26. 2015-01-14 12:13 | goubuli ( 普通白帽子 | Rank:324 漏洞数:61 )

    @爱梅小礼 可以访问C盘就可以,亲测!O(∩_∩)O~

  27. 2015-01-14 12:48 | momo ( 实习白帽子 | Rank:91 漏洞数:24 | ★精华漏洞数:24 | WooYun认证√)

    思路很奇葩。学习了一招。

  28. 2015-01-14 23:42 | 曙光的希望 ( 路人 | Rank:4 漏洞数:1 | 曙光的希望)

    @diguoji 真屌。。卧槽。。