猎豹浏览器远程代码执行

漏洞概要

缺陷编号:WooYun-2015-097654

漏洞标题:猎豹浏览器远程代码执行

相关厂商:金山软件集团

漏洞作者:gainover

提交时间:2015-02-17 19:55

公开时间:2015-05-19 15:12

漏洞类型:远程代码执行

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

Tags标签:

漏洞详情

披露状态:

2015-02-17: 细节已通知厂商并且等待厂商处理中
2015-02-18: 厂商已经确认,细节仅向厂商公开
2015-02-21: 细节向第三方安全合作伙伴开放(绿盟科技、唐朝安全巡航、无声信息)
2015-04-14: 细节向核心白帽子及相关领域专家公开
2015-04-24: 细节向普通白帽子公开
2015-05-04: 细节向实习白帽子公开
2015-05-19: 细节向公众公开

简要描述:

新年快乐!

详细说明:

1. 下载最新版本的猎豹浏览器:KSbrowser_**.**.**.**6.exe2. 通过分析观察猎豹所实现的一些自定义函数接口(external下的一些api),我发现金山有以下api:external.NativeInstallExtensions(["fpmcdbknonpdbngoboglidihcbfjcaep"]);其中fpmcdbknonpdbngoboglidihcbfjcaep是猎豹浏览器市场内的应用ID首先,只要是**.**.**.**或者是**.**.**.**下的网站,均有权限调用该函数,而且,该函数可以用来静默安装应用市场内的任意插件(也就是安装插件没有交互提示)。3. 对于这种静默安装插件的api,有什么利用方法呢?我大概能想到以下几种情况:A. 自己编写一个恶意功能的插件,然后上传到应用市场(需要通过官方审核方可)B. 寻找一个具有功能缺陷,导致我们可以进一步恶意利用的插件进行静默安装。这通常又可以分为两种情况:B1. 插件页面具有XSS,但是由于现在通常插件页面均开启了CSP(content_security_policy),使得这种比较难以被利用,而且即使有XSS,要达到命令执行,也相对困难。B2. 还有一种可以利用的场景,就是插件内包含有npapi,并且其public属性被设置为了true,这样我们只要静默安装了这个插件,任何页面就可以调用该npapi所提供的接口。只要该npapi所提供的函数存在安全缺陷,即可造成进一步的安全问题。

4. 基于以上分析,我们到猎豹应用市场来对一些插件进行筛选,我们比较关心一些字眼:“下载,启动”等。最终我们可以找到以下应用:

5. 安装了这个插件以后,我们发现插件里会带有一个dll文件,并且该plugin的public属性为true,可以被任意页面调用。

然而我们并不知道这个dll的具体用法。

6. 机智的我于是搜索了一下FSMeeting的官方网站和demo,当我打开了官方的演示站之后,没过了一会,我靠!我发现我电脑被自动安装上了 “好视通”的软件。。不禁心中窃喜,看来这个插件会有一个静默安装的功能,于是查看了一下源代码,发现了下图中的代码。

7. 不难看出,run2函数是一个下载并且执行的api,不难写出以下利用代码。

该代码可以从**.**.**.**/testbaidu.exe并且执行。

8. 并且从前面可知,public为true的插件,在哪个页面均可被调用。这样一来,命令执行的思路就有了利用 **.**.**.**/**.**.**.**下的一个xss来调用external.NativeInstallExtensions(["fpmcdbknonpdbngoboglidihcbfjcaep"]); 安装 好视通的浏览器插件然后自己创建一个htm页面,调用好视通的插件函数下载远程的exe并执行。---------------------------------------------------------------------XSS如下:

利用XSS调用以下安装好视通插件,安装完后跳转到 liebao1.htm

http://**.**.**.**/poc/liebao1.htm 的代码如下,下载并执行calc.exe:

漏洞证明:

1.win7 (开启或关闭UAC均可)下访问 http://**.**.**.**/poc/liebao2.htm该页面会跳转到XSS并安装“好视通”2. 安装后,过1.5秒跳转至 http://**.**.**.**/poc/liebao1.htm,下载并执行命令,如下图所示:

修复方案:

1. 对静默安装函数进行修改,采取一些交互提示。2. 对应用市场中含有npapi的应用进行更加严格的审查。

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:7

确认时间:2015-02-1815:10

厂商回复:

[email protected],我们正在修复中。

最新状态:

暂无

评价

  1. 2010-01-01 00:00 梧桐雨 白帽子 | Rank:1509 漏洞数:154)

    - -终于到猎豹了

  2. 2010-01-01 00:00 f4ckbaidu 白帽子 | Rank:215 漏洞数:21)

    第一次这么前排观看二哥

  3. 2010-01-01 00:00 ddy 白帽子 | Rank:29 漏洞数:5)

    金山安全 您提交的漏洞已修复:感谢漏洞作者,其他白帽子已经提交该问题,正在修复中。...
    ***11处Web组件远程代码执行漏洞+1 2015-02-13 14:31:31

  4. 2010-01-01 00:00 泳少 白帽子 | Rank:158 漏洞数:20)

    二哥轮下猎豹了?下一次又是什么呢?

  5. 2010-01-01 00:00 浅蓝 白帽子 | Rank:131 漏洞数:20)

    猎豹程序员:是啊还真是“新年快乐”呢

  6. 2010-01-01 00:00 backtrack丶yao 白帽子 | Rank:0 漏洞数:0)

    估计猎豹的程序员过完年就不用上班了,二哥轻点对待程序员

  7. 2010-01-01 00:00 scanf 白帽子 | Rank:1161 漏洞数:100)

    猎豹程序员:这哥们又来了,看来过年要在公司过了 唉

  8. 2010-01-01 00:00 小龙 白帽子 | Rank:1634 漏洞数:152)

    程序员:哥,别发了,我不想上班

  9. 2010-01-01 00:00 冷静 白帽子 | Rank:3 漏洞数:2)

    能耐好就发Chrome的

  10. 2010-01-01 00:00 Lyleaks 白帽子 | Rank:177 漏洞数:14)

    二哥,我想跟你学做菜

  11. 2010-01-01 00:00 gainover 白帽子 | Rank:1331 漏洞数:97)

    @冷静 web狗表示认怂。

  12. 2010-01-01 00:00 老笨蛋 白帽子 | Rank:6 漏洞数:1)

    @冷静 目测猎豹的程序员:)

  13. 2010-01-01 00:00 xiaoL 白帽子 | Rank:245 漏洞数:22)

    @gainover 二哥- -
    自己回家还不让人闲着

  14. 2010-01-01 00:00 胡小树 白帽子 | Rank:13 漏洞数:3)

    大过年的,程序员不会这样要加班吧

  15. 2010-01-01 00:00 香草 白帽子 | Rank:97 漏洞数:12)

    @gainover 二哥过年也在挖漏洞 学习

  16. 2010-01-01 00:00 狗狗侠 白帽子 | Rank:0 漏洞数:0)

    这种结合起来挂马妥妥的啊

  17. 2010-01-01 00:00 萌萌哒-花粉 白帽子 | Rank:0 漏洞数:0)

    今天好日子呀,等公开。我要升级

  18. 2010-01-01 00:00 梧桐雨 白帽子 | Rank:1509 漏洞数:154)

    这个漏洞并不鸡肋,为什么厂商只给7分?

  19. 2010-01-01 00:00 gainover 白帽子 | Rank:1331 漏洞数:97)

    @梧桐雨 因为他们对这个的危害认知还不够。

  20. 2010-01-01 00:00 px1624 白帽子 | Rank:963 漏洞数:126)

    才7分,还没一个储存xss给的多,金山的分也乱给啊。

  21. 2010-01-01 00:00 ze0r 白帽子 | Rank:0 漏洞数:0)

    人好不容易弄个挂安装量的东西,被你爆了。唉,程序员又要麻烦想其他的挂安装量的方式了。