漏洞概要
关注数(24)
关注此漏洞
漏洞标题:360安全浏览器远程命令执行漏洞接力赛第四棒
提交时间:2016-02-24 12:23
修复时间:2016-05-28 16:30
公开时间:2016-05-28 16:30
漏洞类型:远程代码执行
危害等级:高
自评Rank:20
漏洞状态:厂商已经修复
Tags标签:
无
漏洞详情
披露状态:
2016-02-24: 细节已通知厂商并且等待厂商处理中
2016-02-28: 厂商已经确认,细节仅向厂商公开
2016-04-23: 细节向核心白帽子及相关领域专家公开
2016-05-03: 细节向普通白帽子公开
2016-05-13: 细节向实习白帽子公开
2016-05-28: 厂商已经修复漏洞并主动公开,细节向公众公开
简要描述:
这只是对『心伤的胖子』接力的回应。仍旧是技术分享,其他的留给评论。
浏览器版本:8.1.1.131
详细说明:
是的,这是对之前漏洞的 http://**.**.**.**/bugs/wooyun-2010-0170984 绕过,之前漏洞有两个关键点:
1. 利用 / 符号绕过了 360 白名单的限制;
2. 利用 ../ 跳转把恶意文件放置到当前用户的启动目录;
360 在随后的版本中做了修复,所以在最新的 **.**.**.** 版本中漏洞肯定是不存在的。
经过测试,发现 360 修复的方案为:
1. 不允许域名中出现 / 符号,但是还是会允许别的特殊符号;
2. 通过 ../ 无法跳转目录放置恶意程序到指定目录;
具体怎么绕过?下面就是见证奇迹的时刻:
和 / 有异曲同工的符号是 ?,所以我们的插件链接是:
会被浏览器识别为:
这样我们绕过第一个条件的限制,成功让浏览器下载我们指定的插件。
虽然新版本中浏览器限制通过 ../ 跳转到指定目录,但是经过测试发现却可以使用 ..// 来跳转到指定目录,是不是很神奇?所以我们 poc.zip 文件中只需要包含文件名为如下的文件即可在安装插件的同时把我们的文件放置到当前用户的启动目录
btw:这个地方的逻辑我真是没懂。
这两个关键的点已经解决了,还有一些小的问题困扰着我们
1. 新版本浏览器修复了任意域名下都能够调用 external api 的漏洞
2. 只允许部分 **.**.**.** 的域名才能够调用 external api
也就是我们必须找一个允许调用 external api 的 **.**.**.** 域下的 XSS 漏洞,其实我们有一个:
但是 m.cp.**.**.**.** 域并没有调用 external api 的权限,但是 cp.**.**.**.** 域名却有权限,所以我们可以这样:
1. 用 m.cp.**.**.**.** 域下的 XSS 执行 JS 代码,做两件事情:设置 document.domain 为:**.**.**.**,然后创建一个 iframe,加载一个同样设置 document.domain 为 **.**.**.** 的 cp.**.**.**.** 的页面;
2. 然后跨域在 cp.**.**.**.** 域名下执行 JS 代码,通过上面的漏洞达到远程命令执行的效果;
幸运的是我们在 cp.**.**.**.** 域名下找到一个 document.domain 设置为 **.**.**.** 的页面:
所以我们的代码是:
漏洞证明:
视频:http://**.**.**.**/wooyunhttps://wooyun-img.oss-cn-beijing.aliyuncs.com/upload/201602/360_security_browser_rce_3.mov
修复方案:
1. 检测 ? 符号;
2. ..// 的逻辑也需要做下处理;
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:20
确认时间:2016-02-28 16:28
厂商回复:
感谢白帽子提交的报告,我们第一时间通知业务部门修复了该问题并发布了新版本全网推送升级。
最新状态:
2016-04-19:已修复
漏洞评价:
评价
-
2016-02-24 12:23 |
紫霞仙子 
( 普通白帽子 | Rank:2302 漏洞数:307 | 没好团队,啥都干不成!!!)
-
2016-02-24 12:23 |
荒废的腰子 ( 普通白帽子 | Rank:261 漏洞数:29 | 一言不合,就拿shell...)
-
2016-02-24 12:25 |
田老板 ( 路人 | Rank:26 漏洞数:13 | 学校杀手)
-
2016-02-24 12:28 |
Mieless ( 实习白帽子 | Rank:35 漏洞数:10 | 我是来打酱油的。)
-
2016-02-24 12:28 |
诚殷的小白帽 ( 实习白帽子 | Rank:72 漏洞数:35 )
-
2016-02-24 12:34 |
Agony ( 路人 | Rank:22 漏洞数:11 | you know a cat has nine lives.)
-
2016-02-24 12:35 |
猪猪侠 ( 核心白帽子 | Rank:5112 漏洞数:394 | 你都有那么多超级棒棒糖了,还要自由干吗?)
-
2016-02-24 12:38 |
answer ( 普通白帽子 | Rank:453 漏洞数:54 | 答案)
-
2016-02-24 13:08 |
fuckadmin ( 普通白帽子 | Rank:662 漏洞数:92 | 千里之堤溃于蚁穴)
-
2016-02-24 13:36 |
坏男孩-A_A ( 实习白帽子 | Rank:81 漏洞数:23 | 膜拜学习中)
-
2016-02-24 13:38 |
Mixes ( 普通白帽子 | Rank:116 漏洞数:20 | :))
-
2016-02-24 13:48 |
j14n ( 普通白帽子 | Rank:1824 漏洞数:321 | ... . -.-. - . .- --)
-
2016-02-24 14:05 |
欧冠狂魔阿森纳 ( 实习白帽子 | Rank:73 漏洞数:30 | 静静的看你们装逼)
-
2016-02-24 14:05 |
佳佳佳佳佳 ( 实习白帽子 | Rank:45 漏洞数:7 | I want to be ur sunshine.)
-
2016-02-24 15:13 |
姬野 ( 路人 | Rank:12 漏洞数:4 | 铁甲依然在)
-
2016-02-24 15:24 |
围观群众 ( 路人 | Rank:4 漏洞数:2 | 新人学习)
-
2016-02-24 15:48 |
depycode ( 普通白帽子 | Rank:299 漏洞数:52 | 关注网络安全,提高技术!)
-
2016-02-24 15:55 |
大亮 ( 普通白帽子 | Rank:359 漏洞数:70 | 慢慢挖洞)
-
2016-02-24 16:01 |
Gabriel ( 普通白帽子 | Rank:142 漏洞数:37 )
-
2016-02-24 16:01 |
举起手来 ( 核心白帽子 | Rank:1900 漏洞数:197 | 准备好,举起手来!)
-
2016-02-24 16:09 |
大师兄 ( 实习白帽子 | Rank:31 漏洞数:8 | 每日必关注乌云)
-
2016-02-24 16:20 |
llkoio ( 实习白帽子 | Rank:46 漏洞数:14 | 听佛陀的教诲)
-
2016-02-24 16:34 |
Can ( 普通白帽子 | Rank:116 漏洞数:36 | 我是水一样的男子,因为党说我是流动人口。)
-
2016-02-24 16:53 |
秦风 ( 实习白帽子 | Rank:40 漏洞数:10 | 血染江山的画 怎敌妳眉间一点朱砂 覆...)
-
2016-02-24 16:57 |
库日天 ( 路人 | Rank:18 漏洞数:8 | 图样图森破!!!)
-
2016-02-24 17:01 |
我是壮丁 ( 实习白帽子 | Rank:42 漏洞数:3 | 专业打酱油)
-
2016-02-24 17:14 |
玄道 ( 普通白帽子 | Rank:140 漏洞数:41 | 就是注入 就是注入 注入)
牛逼 屌 围观 出售花生瓜子矿泉水 360与乌云大战
-
2016-02-24 17:20 |
木易 ( 普通白帽子 | Rank:329 漏洞数:67 | 不,,不要误会,我不是针对谁,我是说在座...)
-
2016-02-24 17:44 |
心伤的胖子 ( 普通白帽子 | Rank:388 漏洞数:31 | 因为心伤,所以胖子。)
赞啊楼上的几位都歪楼了,多从技术角度出发啊,还冤冤相报……
-
2016-02-24 18:03 |
SH0X8001 ( 路人 | Rank:25 漏洞数:6 | 你猜)
-
2016-02-24 19:13 |
Mark0smith ( 普通白帽子 | Rank:172 漏洞数:68 | 我要是再正常一点就好了)
-
2016-02-24 21:33 |
hkcs ( 实习白帽子 | Rank:56 漏洞数:9 | 只是路过)
-
2016-02-24 22:19 |
白骨夫人 ( 普通白帽子 | Rank:236 漏洞数:53 | 白骨夫人,白只做白的,骨就是骨气,夫人就...)
-
2016-02-25 10:04 |
围剿 ( 路人 | Rank:17 漏洞数:5 | Evil decimal)
-
2016-03-01 20:19 |
白骨夫人 ( 普通白帽子 | Rank:236 漏洞数:53 | 白骨夫人,白只做白的,骨就是骨气,夫人就...)
