漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0124547
漏洞标题:搜狗浏览器远程命令执行(特权域攻击技巧与多处处理意识不当)
相关厂商:搜狗
漏洞作者: 梧桐雨
提交时间:2015-07-06 10:13
修复时间:2015-10-04 15:22
公开时间:2015-10-04 15:22
漏洞类型:远程代码执行
危害等级:高
自评Rank:15
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-07-06: 细节已通知厂商并且等待厂商处理中
2015-07-06: 厂商已经确认,细节仅向厂商公开
2015-07-09: 细节向第三方安全合作伙伴开放
2015-08-30: 细节向核心白帽子及相关领域专家公开
2015-09-09: 细节向普通白帽子公开
2015-09-19: 细节向实习白帽子公开
2015-10-04: 细节向公众公开
简要描述:
更新了搜狗浏览器最新版本,复查前面漏洞发现几个有趣的地方,结合这些有趣的地方依然可以导致命令执行。
详细说明:
最新版:
为什么说有趣?且看我慢慢道来。
0x00、因为之前二哥给报过的漏洞,window.open()跳转到扩展域已经被修复了。那么二哥当时是怎么绕过的呢?
可见: WooYun: 搜狗浏览器远程命令执行之四
在复查的过程中,我惊讶的发现,window.open()+location.href,又可以从*.sogou.com跳转到特权域( se-extension://)不知道是不是临时工干的?还是代码回滚了?这是其一。也就是说,哪怕你修复了通过a.click()去禁止跳转,已经防御失效了。
0x01、其二,搜狗对前面二哥报过的 WooYun: 搜狗浏览器远程命令执行之四 漏洞进行了修复,目前没有办法通过该案例的xss进行攻击,但这显然不是漏洞的关键点。翻阅了搜狗历史漏洞记录,发现有一个xss依然可以被我利用。就是这个:http://wap.gouwu.sogou.com/search#shop/query=1"});alert(1);//
但是这个xss并不是很好用,为什么这么说?后面我会详细讲。
0x02、其三,漏洞的关键点, WooYun: 搜狗浏览器远程命令执行之四 这里的插件xss漏洞你们依然没有修复,依然只是对(进行了替换。
0x03、其四,你们对window.external.extension("installExtFromSidebarBox", "com.qq.AccountProtect", "1.0.6", "test", '-1', 'undefined', 'undefined', "function(){console.log(arguments);}"); 这种类型的静默安装插件接口进行了限制,但是因为另外一处的xss导致命令执行。
0x04、其五,之前给你们报过的: WooYun: 搜狗浏览器设计缺陷导致可在任意域构造xss漏洞 发现过滤方式存在问题,具体可看:
main()函数中,只对之前的<script>进行了转义,替换为了实体,我们还可以采用<iframe src=javascript:alert()>这种形式进行调用js,调用成功,执行下面方法,安装下面的看图插件,实现下载木马到本地,重启之后运行。
window.open("se://sidebarextmanager/index.html").external.extension("installExtFromSidebarBox", "com.sogou.cxj009.PicViewer", "1.0.0", "邪恶插件", '-1', 'undefined', 'undefined', "function(){}");
结合上面的5点,我们不难构造出利用的代码。见测试代码。
document.title 需要设置setInterval()进行轮训,因为上面指出的xss会覆盖掉标题,通过该办法可以设置成功。具体可以查看漏洞证明的视频结果。
漏洞证明:
win7 关闭uac测试成功视频:
链接: http://pan.baidu.com/s/1mgCFSdM 密码: qd8c
XP同样成功的,我就不录制视频了。
代码比较渣= =见谅。算的准的话代码实现自动化应该是没问题的。
修复方案:
1、继续加强过滤云笔记的xss。
2、修复sogou.com域的xss(那么多你们怎么修的完)
3、修复看图插件的xss,具体结合业务
4、修复window.open location.href跳转到插件域
版权声明:转载请注明来源 梧桐雨@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:10
确认时间:2015-07-06 15:20
厂商回复:
感谢支持
最新状态:
暂无