搜狗浏览器远程命令执行(特权域攻击技巧与多处处理意识不当)

漏洞概要

缺陷编号:WooYun-2015-0124547

漏洞标题:搜狗浏览器远程命令执行(特权域攻击技巧与多处处理意识不当)

相关厂商:搜狗

漏洞作者:梧桐雨

提交时间:2015-07-06 10:13

公开时间:2015-10-04 15:22

漏洞类型:远程代码执行

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

Tags标签:

漏洞详情

披露状态:

2015-07-06: 细节已通知厂商并且等待厂商处理中
2015-07-06: 厂商已经确认,细节仅向厂商公开
2015-07-09: 细节向第三方安全合作伙伴开放(绿盟科技、唐朝安全巡航、无声信息)
2015-08-30: 细节向核心白帽子及相关领域专家公开
2015-09-09: 细节向普通白帽子公开
2015-09-19: 细节向实习白帽子公开
2015-10-04: 细节向公众公开

简要描述:

更新了搜狗浏览器最新版本,复查前面漏洞发现几个有趣的地方,结合这些有趣的地方依然可以导致命令执行。

详细说明:

最新版:

为什么说有趣?且看我慢慢道来。0x00、因为之前二哥给报过的漏洞,window.open()跳转到扩展域已经被修复了。那么二哥当时是怎么绕过的呢?可见:http://**.**.**.**/bugs/wooyun-2010-089575在复查的过程中,我惊讶的发现,window.open()+location.href,又可以从**.**.**.**跳转到特权域( se-extension://)不知道是不是临时工干的?还是代码回滚了?这是其一。也就是说,哪怕你修复了通过a.click()去禁止跳转,已经防御失效了。0x01、其二,搜狗对前面二哥报过的http://**.**.**.**/bugs/wooyun-2010-089575 漏洞进行了修复,目前没有办法通过该案例的xss进行攻击,但这显然不是漏洞的关键点。翻阅了搜狗历史漏洞记录,发现有一个xss依然可以被我利用。就是这个:http://**.**.**.**/search#shop/query=1"});alert(1);//

但是这个xss并不是很好用,为什么这么说?后面我会详细讲。0x02、其三,漏洞的关键点,http://**.**.**.**/bugs/wooyun-2010-089575 这里的插件xss漏洞你们依然没有修复,依然只是对(进行了替换。0x03、其四,你们对window.external.extension("installExtFromSidebarBox", "com.qq.AccountProtect", "1.0.6", "test", '-1', 'undefined', 'undefined', "function(){console.log(arguments);}"); 这种类型的静默安装插件接口进行了限制,但是因为另外一处的xss导致命令执行。0x04、其五,之前给你们报过的:http://**.**.**.**/bugs/wooyun-2010-0112560 发现过滤方式存在问题,具体可看:

main()函数中,只对之前的<script>进行了转义,替换为了实体,我们还可以采用<iframe src=javascript:alert()>这种形式进行调用js,调用成功,执行下面方法,安装下面的看图插件,实现下载木马到本地,重启之后运行。window.open("se://sidebarextmanager/index.html").external.extension("installExtFromSidebarBox", "com.sogou.cxj009.PicViewer", "1.0.0", "邪恶插件", '-1', 'undefined', 'undefined', "function(){}");结合上面的5点,我们不难构造出利用的代码。见测试代码。document.title 需要设置setInterval()进行轮训,因为上面指出的xss会覆盖掉标题,通过该办法可以设置成功。具体可以查看漏洞证明的视频结果。

漏洞证明:

win7 关闭uac测试成功视频:链接: http://**.**.**.**/s/1mgCFSdM 密码: qd8cXP同样成功的,我就不录制视频了。代码比较渣= =见谅。算的准的话代码实现自动化应该是没问题的。

修复方案:

1、继续加强过滤云笔记的xss。2、修复**.**.**.**域的xss(那么多你们怎么修的完)3、修复看图插件的xss,具体结合业务4、修复window.openlocation.href跳转到插件域

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2015-07-06 15:20

厂商回复:

感谢支持

最新状态:

暂无

评价

  1. 2010-01-01 00:00 大亮 白帽子 | Rank:267 漏洞数:28)

    我是一楼

  2. 2010-01-01 00:00 Ton7BrEak 白帽子 | Rank:128 漏洞数:8)

    我是二楼

  3. 2010-01-01 00:00 Bear baby 白帽子 | Rank:174 漏洞数:14)

    我来座三楼

  4. 2010-01-01 00:00 随随意意 白帽子 | Rank:125 漏洞数:14)

    我来修四楼

  5. 2010-01-01 00:00 px1624 白帽子 | Rank:963 漏洞数:126)

    5分、

  6. 2010-01-01 00:00 梧桐雨 白帽子 | Rank:1509 漏洞数:154)

    测试不容易,多给点rank吧,狗大哥。

  7. 2010-01-01 00:00 牛 小 帅 白帽子 | Rank:407 漏洞数:34)

    7楼小帅 (再说一次 ,我不卖龙虾了)

  8. 2010-01-01 00:00 Sogili 白帽子 | Rank:124 漏洞数:29)

    越来越屌

  9. 2010-01-01 00:00 数据流 白帽子 | Rank:794 漏洞数:95)

    小雨高产啊`

  10. 2010-01-01 00:00 撸大叔 白帽子 | Rank:24 漏洞数:2)

    @梧桐雨 为何这个没加$