当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0128245

漏洞标题:【乌云峰会】网易闪电邮远程命令执行附思路分析

相关厂商:网易

漏洞作者: gainover

提交时间:2015-07-22 07:35

修复时间:2015-10-23 10:48

公开时间:2015-10-23 10:48

漏洞类型:远程代码执行

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-07-22: 细节已通知厂商并且等待厂商处理中
2015-07-25: 厂商已经确认,细节仅向厂商公开
2015-07-28: 细节向第三方安全合作伙伴开放
2015-09-18: 细节向核心白帽子及相关领域专家公开
2015-09-28: 细节向普通白帽子公开
2015-10-08: 细节向实习白帽子公开
2015-10-23: 细节向公众公开

简要描述:

打个卡。

详细说明:

1. 最新版本 2.4 build 1020

1.png


2. 首先看看网易闪电邮的结构。

2.png


左侧是邮件列表,右侧是邮件查看窗口,该窗口实际上就是一个内嵌的浏览器,分析得知,其中展示的页面为 viewer.html(绿色框框部分), 而邮件正文部分(红色框框部分)则为一个具有临时名称的html文件,(如:tmpmail~2.html),viewer.html通过 iframe 标签嵌入 正文的html文件,
为了避免邮件正文中存在XSS导致相关问题发生,网易闪电邮利用了 iframe的security属性来限制邮件正文html中脚本的执行,如下图所示:

3.png


默认使用name="ps1"的iframe来展示邮件正文内容, security="restricted" 限制了该iframe内的html的脚本执行(The security attribute restricts use of the javascript, vbscript, and about protocols in the URL. https://msdn.microsoft.com/en-us/library/ms534622.aspx)
也就是说,我们要执行XSS,得绕过 security="restricted" ,但是这个似乎不太可能。如果是走这个思路,我们的测试到这里就已经结束了。
3. 然而,在继续测试的过程中,我们又发现了一些有意思的点:
用客户端发送一个邮件,插入一个图片。

4.png


发送邮件后,来看看接收邮件方的情况:

5.png


可以看到,在邮件目录下有几个文件:
viewer.html: 上文提到的邮件展示页面
tmpmail~7.html: 邮件正文内容页面
mail.js: 邮件概要信息
pkav.png: 发送时插入的图片
4. 上面这4个文件有什么问题呢?
首先,邮件展示页 viewer.html 在该邮件目录下,
然后,插入的pkav.png 也在该邮件目录下。
那么,如果我们插入一个“图片”,名字叫做 viewer.html,会不会覆盖掉原有的viewer.html,从而导致viewer.html加载我们的代码呢?
这里有两种可能性,
A. 程序先COPY一份正常的viewer.html到邮件目录下,然后程序将“viewer.html”图片下载到邮件目录中,覆盖掉原有的viewer.html,导致问题。
B. 程序先将“viewer.html”图片下载到邮件目录中,然后COPY一份正常的viewer.html到邮件目录下,覆盖了“假”的viewer.html,viewer.html被覆盖为正常,不会导致问题。
为了测试是A还是B,我们复制一份viewer.html,做一些修改,如下:

6.png


还是和上面一样,将此文件当作图片插入到邮件中,然后进行发送。

7.png


如上图所示,我们插入的代码不见了。
这说明,程序走的是B流程,看样子这么不会存在问题了。。
5. 然而,在viewer.html的末尾却发现了一些问题:

8.png


可以看到,B流程里的覆盖操作,并非是拿程序里的viewer.html模板直接覆盖邮件目录下的viewer.html,而是某种“神秘”的写入操作。
为什么说是“神秘”,因为多次测试后,并未发现明显的写入规律,不知道末尾产生的这段多余的机制是如何进行的。
但是,如果我们把“恶意代码”追加到viewer.html的时候,就会发现我们追加的“恶意代码”会被留在viewer.html结尾。
构造的恶意viewer.html如下图:

9.png


收到邮件后,得到的viewer.html如下(左侧是收到的,右侧是发送的):

11.jpg


并且,收到邮件的时候,可以看到alert(1)被执行了。

10.png


-----------------------------------------
到了这里,我们得到了一个XSS的执行权限,怎么进一步利用呢?
-----------------------------------------
6. 首先考虑的就是会不会有命令执行? 经过一番琢磨后,注意到了邮箱的附件功能。
附件有一个双击执行的功能。

11.png


看似很理所当然对吧?
然而,这是一个用HTML来实现的邮件展示界面,HTML来要实现直接执行exe是不可行的,那么说明该html的容器(嵌入的浏览器)中必然实现了一些API接口来实现执行附件的功能。
浏览器扩展的api一般都是在external对象上添加的,因此我们就到viewer.js里去搜索external

12.png


可以看到,我们定位到了附件双击功能,确实对应着一条external的函数onAttachmentDblClicked,该函数有一个参数,并且是整数数字,试着推测了一下,该参数表示“第几个附件”的含义。
7. 基于此,我们将此前的alert(1)的代码修改一下,在viewer.html末尾加上:

<script>
external.onAttachmentDblClicked(0);
</script>
<style>
#at-list{display:none}
</style>


其中 #at-list{display:none} 这条CSS 是为了隐藏邮件中看起来可疑的附件列表,
如图所示:

13.png


然后用客户端发送邮件,把修改后的viewer.html当作图片加入,
编写一个 111.wsf 脚本文件:

见测试代码部分


然后,把111.wsf当作附件添加到邮件中,
最后,发送邮件。

14.png


8. 收到邮件,点开邮件后,
external.onAttachmentDblClicked(0); 被执行,
第一个附件相当于被双击,执行
即,111.wsf中的命令被执行:

15.png

漏洞证明:

见详细说明

修复方案:

暂无

版权声明:转载请注明来源 gainover@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2015-07-25 10:47

厂商回复:

非常感谢白帽子细致的分析,漏洞已修复,并更新到官网,感谢您对网易的关注!

最新状态:

暂无