当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0124547

漏洞标题:搜狗浏览器远程命令执行(特权域攻击技巧与多处处理意识不当)

相关厂商:搜狗

漏洞作者: 梧桐雨

提交时间:2015-07-06 10:13

修复时间:2015-10-04 15:22

公开时间:2015-10-04 15:22

漏洞类型:远程代码执行

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-07-06: 细节已通知厂商并且等待厂商处理中
2015-07-06: 厂商已经确认,细节仅向厂商公开
2015-07-09: 细节向第三方安全合作伙伴开放
2015-08-30: 细节向核心白帽子及相关领域专家公开
2015-09-09: 细节向普通白帽子公开
2015-09-19: 细节向实习白帽子公开
2015-10-04: 细节向公众公开

简要描述:

更新了搜狗浏览器最新版本,复查前面漏洞发现几个有趣的地方,结合这些有趣的地方依然可以导致命令执行。

详细说明:

最新版:

pic.jpg


为什么说有趣?且看我慢慢道来。
0x00、因为之前二哥给报过的漏洞,window.open()跳转到扩展域已经被修复了。那么二哥当时是怎么绕过的呢?
可见: WooYun: 搜狗浏览器远程命令执行之四
在复查的过程中,我惊讶的发现,window.open()+location.href,又可以从*.sogou.com跳转到特权域( se-extension://)不知道是不是临时工干的?还是代码回滚了?这是其一。也就是说,哪怕你修复了通过a.click()去禁止跳转,已经防御失效了。
0x01、其二,搜狗对前面二哥报过的 WooYun: 搜狗浏览器远程命令执行之四 漏洞进行了修复,目前没有办法通过该案例的xss进行攻击,但这显然不是漏洞的关键点。翻阅了搜狗历史漏洞记录,发现有一个xss依然可以被我利用。就是这个:http://wap.gouwu.sogou.com/search#shop/query=1"});alert(1);//

1xss.jpg

但是这个xss并不是很好用,为什么这么说?后面我会详细讲。
0x02、其三,漏洞的关键点, WooYun: 搜狗浏览器远程命令执行之四 这里的插件xss漏洞你们依然没有修复,依然只是对(进行了替换。
0x03、其四,你们对window.external.extension("installExtFromSidebarBox", "com.qq.AccountProtect", "1.0.6", "test", '-1', 'undefined', 'undefined', "function(){console.log(arguments);}"); 这种类型的静默安装插件接口进行了限制,但是因为另外一处的xss导致命令执行。
0x04、其五,之前给你们报过的: WooYun: 搜狗浏览器设计缺陷导致可在任意域构造xss漏洞 发现过滤方式存在问题,具体可看:

asd.jpg


main()函数中,只对之前的<script>进行了转义,替换为了实体,我们还可以采用<iframe src=javascript:alert()>这种形式进行调用js,调用成功,执行下面方法,安装下面的看图插件,实现下载木马到本地,重启之后运行。
window.open("se://sidebarextmanager/index.html").external.extension("installExtFromSidebarBox", "com.sogou.cxj009.PicViewer", "1.0.0", "邪恶插件", '-1', 'undefined', 'undefined', "function(){}");
结合上面的5点,我们不难构造出利用的代码。见测试代码。
document.title 需要设置setInterval()进行轮训,因为上面指出的xss会覆盖掉标题,通过该办法可以设置成功。具体可以查看漏洞证明的视频结果。

漏洞证明:

win7 关闭uac测试成功视频:
链接: http://pan.baidu.com/s/1mgCFSdM 密码: qd8c
XP同样成功的,我就不录制视频了。
代码比较渣= =见谅。算的准的话代码实现自动化应该是没问题的。

修复方案:

1、继续加强过滤云笔记的xss。
2、修复sogou.com域的xss(那么多你们怎么修的完)
3、修复看图插件的xss,具体结合业务
4、修复window.open location.href跳转到插件域

版权声明:转载请注明来源 梧桐雨@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2015-07-06 15:20

厂商回复:

感谢支持

最新状态:

暂无


漏洞评价:

评论

  1. 2015-07-06 10:15 | 大亮 ( 普通白帽子 | Rank:306 漏洞数:66 | 慢慢挖洞)

    我是一楼

  2. 2015-07-06 10:20 | Ton7BrEak ( 普通白帽子 | Rank:211 漏洞数:43 | 吃苦耐劳,我只会第一个!)

    我是二楼

  3. 2015-07-06 10:28 | Bear baby ( 普通白帽子 | Rank:183 漏洞数:20 | 善攻者,不知其所守。善守者,不知其所攻。)

    我来座三楼

  4. 2015-07-06 10:33 | 随随意意 ( 普通白帽子 | Rank:160 漏洞数:35 | 我对XSS并非真爱(┬_┬)最近有人冒充该...)

    我来修四楼

  5. 2015-07-06 10:34 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    5分、

  6. 2015-07-06 10:40 | 梧桐雨 认证白帽子 ( 核心白帽子 | Rank:1576 漏洞数:185 | 关注技术与网络安全)

    测试不容易,多给点rank吧,狗大哥。

  7. 2015-07-06 11:55 | 牛 小 帅 ( 普通白帽子 | Rank:379 漏洞数:87 | [code]心若没有栖息的地方,走到哪里都是在...)

    7楼小帅 (再说一次 ,我不卖龙虾了)

  8. 2015-07-06 12:54 | Sogili ( 普通白帽子 | Rank:129 漏洞数:27 )

    越来越屌

  9. 2015-07-06 13:14 | 数据流 ( 核心白帽子 | Rank:716 漏洞数:88 | all or nothing,now or never)

    小雨高产啊`