缺陷编号:WooYun-2015-0124547
漏洞标题:搜狗浏览器远程命令执行(特权域攻击技巧与多处处理意识不当)
相关厂商:搜狗
漏洞作者:梧桐雨
提交时间:2015-07-06 10:13
公开时间:2015-10-04 15:22
漏洞类型:远程代码执行
危害等级:高
自评Rank:15
漏洞状态:厂商已经确认
Tags标签:
2015-07-06: 细节已通知厂商并且等待厂商处理中
2015-07-06: 厂商已经确认,细节仅向厂商公开
2015-07-09: 细节向第三方安全合作伙伴开放(绿盟科技、唐朝安全巡航、无声信息)
2015-08-30: 细节向核心白帽子及相关领域专家公开
2015-09-09: 细节向普通白帽子公开
2015-09-19: 细节向实习白帽子公开
2015-10-04: 细节向公众公开
更新了搜狗浏览器最新版本,复查前面漏洞发现几个有趣的地方,结合这些有趣的地方依然可以导致命令执行。
最新版:
为什么说有趣?且看我慢慢道来。0x00、因为之前二哥给报过的漏洞,window.open()跳转到扩展域已经被修复了。那么二哥当时是怎么绕过的呢?可见:http://**.**.**.**/bugs/wooyun-2010-089575在复查的过程中,我惊讶的发现,window.open()+location.href,又可以从**.**.**.**跳转到特权域( se-extension://)不知道是不是临时工干的?还是代码回滚了?这是其一。也就是说,哪怕你修复了通过a.click()去禁止跳转,已经防御失效了。0x01、其二,搜狗对前面二哥报过的http://**.**.**.**/bugs/wooyun-2010-089575 漏洞进行了修复,目前没有办法通过该案例的xss进行攻击,但这显然不是漏洞的关键点。翻阅了搜狗历史漏洞记录,发现有一个xss依然可以被我利用。就是这个:http://**.**.**.**/search#shop/query=1"});alert(1);//
但是这个xss并不是很好用,为什么这么说?后面我会详细讲。0x02、其三,漏洞的关键点,http://**.**.**.**/bugs/wooyun-2010-089575 这里的插件xss漏洞你们依然没有修复,依然只是对(进行了替换。0x03、其四,你们对window.external.extension("installExtFromSidebarBox", "com.qq.AccountProtect", "1.0.6", "test", '-1', 'undefined', 'undefined', "function(){console.log(arguments);}"); 这种类型的静默安装插件接口进行了限制,但是因为另外一处的xss导致命令执行。0x04、其五,之前给你们报过的:http://**.**.**.**/bugs/wooyun-2010-0112560 发现过滤方式存在问题,具体可看:
main()函数中,只对之前的<script>进行了转义,替换为了实体,我们还可以采用<iframe src=javascript:alert()>这种形式进行调用js,调用成功,执行下面方法,安装下面的看图插件,实现下载木马到本地,重启之后运行。window.open("se://sidebarextmanager/index.html").external.extension("installExtFromSidebarBox", "com.sogou.cxj009.PicViewer", "1.0.0", "邪恶插件", '-1', 'undefined', 'undefined', "function(){}");结合上面的5点,我们不难构造出利用的代码。见测试代码。document.title 需要设置setInterval()进行轮训,因为上面指出的xss会覆盖掉标题,通过该办法可以设置成功。具体可以查看漏洞证明的视频结果。
win7 关闭uac测试成功视频:链接: http://**.**.**.**/s/1mgCFSdM 密码: qd8cXP同样成功的,我就不录制视频了。代码比较渣= =见谅。算的准的话代码实现自动化应该是没问题的。
1、继续加强过滤云笔记的xss。2、修复**.**.**.**域的xss(那么多你们怎么修的完)3、修复看图插件的xss,具体结合业务4、修复window.openlocation.href跳转到插件域
危害等级:中
漏洞Rank:10
确认时间:2015-07-06 15:20
感谢支持
暂无
我是一楼
我是二楼
我来座三楼
我来修四楼
5分、
测试不容易,多给点rank吧,狗大哥。
7楼小帅 (再说一次 ,我不卖龙虾了)
越来越屌
小雨高产啊`
@梧桐雨 为何这个没加$
原文连接
的情况下转载,若非则不得使用我方内容。