漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-093620
漏洞标题:从百度某论坛存储型XSS到百度浏览器远程命令执行
相关厂商:百度
漏洞作者: 路人甲
提交时间:2015-01-24 01:10
修复时间:2015-04-24 01:12
公开时间:2015-04-24 01:12
漏洞类型:远程代码执行
危害等级:高
自评Rank:20
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-01-24: 细节已通知厂商并且等待厂商处理中
2015-01-26: 厂商已经确认,细节仅向厂商公开
2015-01-29: 细节向第三方安全合作伙伴开放
2015-03-22: 细节向核心白帽子及相关领域专家公开
2015-04-01: 细节向普通白帽子公开
2015-04-11: 细节向实习白帽子公开
2015-04-24: 细节向公众公开
简要描述:
。。。
详细说明:
新版本的百度浏览器,未修复下载目录可通过特权API直接设置的漏洞,具体见: WooYun: 百度浏览器远程命令执行五
那么,只要找到一个特权域下的XSS,即可导致下载程序到指定目录:
其中http://bbs.liulanqi.baidu.com/属于特权域,如下图所示,可以成功在该域下执行特权API
-------------------------------
http://bbs.liulanqi.baidu.com/ 是一个 DZ 3.2 的论坛,默认功能不知道有没有XSS,但是百度自己所添加的百度云附件功能却出现了存储型XSS。XSS的成因是获取http://pan.baidu.com的链接后,通过正则,匹配出链接后的JSON数据,parse后,未经过滤,即被拼接进入DOM中。
只需要回帖,发表以下内容:
可以看到console.log(111111) 被成功执行。
可以直接看帖子:http://bbs.liulanqi.baidu.com/forum.php?mod=viewthread&tid=1150&pid=94627&page=11&extra=#pid94627
打开F12即可看到输出的111111
--------------------------------------------------
结合以上两点, 即向启动目录写入文件。(具体漏洞利用代码参见 WooYun: 百度浏览器远程命令执行五 ),
利用效果图如下:
漏洞证明:
见详细说明
修复方案:
1. 修复存储型xss
2. 修复可以通过特权域API来设置下载任意下载目录的问题。
当前的设置下载目录的方式是:点击设置下载目录按钮-》用户选择路径-》选择完成后,返回用户所选择的路径-》特权域API对所选择的路径设置进行保存(百度浏览器是这种)
正确的设置下载目录的方式是: 点击设置下载目录按钮-》用户选择路径-》选择完成后,在浏览器端的代码里保存下载目录的设置 (一般浏览器都是这种)
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:20
确认时间:2015-01-26 10:25
厂商回复:
感谢提交,已通知业务部门处理
最新状态:
暂无