当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0117961

漏洞标题:迅雷PC端(迅雷7.x&迅雷极速版)全系列最新版本通杀,可被中间人攻击利用植入木马

相关厂商:迅雷

漏洞作者: 内谁

提交时间:2015-06-03 14:42

修复时间:2015-09-01 14:56

公开时间:2015-09-01 14:56

漏洞类型:非授权访问/认证绕过

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-06-03: 细节已通知厂商并且等待厂商处理中
2015-06-03: 厂商已经确认,细节仅向厂商公开
2015-06-06: 细节向第三方安全合作伙伴开放
2015-07-28: 细节向核心白帽子及相关领域专家公开
2015-08-07: 细节向普通白帽子公开
2015-08-17: 细节向实习白帽子公开
2015-09-01: 细节向公众公开

简要描述:

迅雷PC端(迅雷7.x&迅雷极速版)全系列最新版本通杀(迅雷7.x均可、极速版任意版本均可),组件升级过程可被中间人攻击利用,可使得获得更新程序的PC被植入任意DLL文件,形成DLL劫持,执行任意代码。

详细说明:

迅雷在启动后1分钟左右,会主动向服务器GET一个xml文档,URL如下:
http://media.info.client.xunlei.com/ThunderPush/ThunderPush.7.XX.XX.xml
(XX为子版本号,不同的版本,URL不同,但结构相同)。
回应包为一个标准的xml文档,该文档描述了各组件的名称、更新url地址、版本、以及加载方式等信息。
攻击者如果劫持了这个TCP会话,并修改伪造xml文档,插入TCP会话,可以造成任意dll文件被下载的后果,如果根据相对路径来伪造一个zip压缩包的话,则可以形成dll劫持,执行任意代码(修改xml的方法为增加一个节点,name随便,url正确就OK)。
迅雷没有对组件更新文件进行任何校验,仅仅通过xml的描述就去更新组件(连hash都没有做!),且迅雷7以后的任意版本均有这个问题,原来的尊享版也有,后来改为极速版仍然没有改正这个问题!

漏洞证明:

正常的数据包请求及回应截图:

正常数据包.jpg


劫持并插入会话后截图:

劫持后数据包.jpg


迅雷7劫持后截图:

迅雷7劫持后.jpg


迅雷极速版劫持后截图:

迅雷极速版劫持后.jpg


伪造的zip包截图:

zip包.jpg

修复方案:

校验组件文件,修改组件升级方法。

版权声明:转载请注明来源 内谁@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:16

确认时间:2015-06-03 14:54

厂商回复:

感谢反馈!

最新状态:

暂无

漏洞评价:

评论

  1. 2015-06-07 21:31 | f4ckbaidu ( 普通白帽子 | Rank:182 漏洞数:23 | 开发真是日了狗了)

    洞主是MITM小号吧

  2. 2015-06-13 18:04 | 内谁 ( 实习白帽子 | Rank:81 漏洞数:5 | 我是内谁)

    @f4ckbaidu 不是,可能同一领域

  3. 2015-09-01 15:43 | wanger ( 路人 | Rank:4 漏洞数:1 | 每个不曾起舞的日子,都是对生命的辜负!)

    膜拜一下~

  4. 2015-09-01 17:29 | 明月影 ( 路人 | Rank:12 漏洞数:8 | 学姿势,学思路。)

    @内谁 厉害。