利用搜狗拼音输入法放置猥琐后门

2015年5月3日02:38:03评论433 views字数 210阅读0分42秒阅读模式

摘要

2014-07-21：细节已通知厂商并且等待厂商处理中
2014-07-26：厂商已经确认，细节仅向厂商公开
2014-08-05：细节向核心白帽子及相关领域专家公开
2014-08-15：细节向普通白帽子公开
2014-08-25：细节向实习白帽子公开
2014-09-04：细节向公众公开

漏洞概要关注数(36) 关注此漏洞

缺陷编号： WooYun-2014-69211

漏洞标题：利用搜狗拼音输入法放置猥琐后门

漏洞作者： Knight

提交时间： 2014-07-21 16:52

公开时间： 2014-09-04 16:52

漏洞类型：设计缺陷/逻辑错误

危害等级：中

自评Rank： 10

漏洞状态：厂商已经确认

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签：设计不当认证设计不合理

0人收藏

漏洞详情

披露状态：

简要描述：

详细说明：

搜狗拼音输入法在调用程序时没有对程序进行校检，导致可执行任意程序。

此处以搜狗拼音输入法SogouCloud.exe（一般位于C:/Program Files/SogouInput/一串版本号）为例。

用漏洞证明中提供的代码编译的程序在运行后会在原目录生成a.txt，看是否有a.txt便知是否运行。

或者随手用任意程序替换皆可，例如用python.exe替换后在输入各种账号密码或者百度谷歌资料时会弹出python.exe的窗口。

猥琐之处：

将SogouCloud.exe替换成后门后启动项不会有任何异常

后门会不定次数、不定时运行，但一般都会在用户输入各种账号密码或者百度谷歌时运行，方便盗号等

后门不需24H开启，调用一次运行一次，运行完即可结束

ps：搜狗在多次调用替换后的SogouCloud.exe之后会提示一次文件被破坏，忽略即可（或者直接干掉搜狗保护程序，反正直接就能删而且删了也不影响搜狗正常运行）

漏洞证明：

编译以下代码，将程序改名替换掉SogouCloud.exe,当程序运行时就会在目录中生成a.txt。

code 区域

#include<fstream>
 using namespace std;
 void main(void)
 {
 ofstream file;
 file.open("a.txt",ostream::app);
 file<<"hack program run";
 file.close(); 
 file.clear();
 }

修复方案：

校检

版权声明：转载请注明来源 Knight@乌云

漏洞回应

厂商回应：

危害等级：低

漏洞Rank：3

确认时间：2014-07-26 09:00

厂商回复：

感谢支持，我们正在修复，欢迎到SGSRC提交漏洞。

漏洞评价：

对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值

漏洞评价(少于3人评价):

登陆后才能进行评分

100%

评价

2014-07-21 16:53 | xsjswt ( 普通白帽子 | Rank:156 漏洞数:49 | 我思故我猥琐，我猥琐故我强大)

1

就是自定义输入法的那个dll么，这样的地方多了去了，到处都可以搞

1# 回复此人
2014-07-21 17:29 | Jack.Chalres ( 实习白帽子 | Rank:39 漏洞数:15 | ..............)

0

MARK

2# 回复此人
2014-07-21 17:34 | Knight ( 实习白帽子 | Rank:74 漏洞数:13 | 刚刚上洗手间，看到一个玉树临风的少年，气...)

0

@xsjswt No.

3# 回复此人
2014-07-22 09:16 | v0yager_1ce ( 路人 | Rank:2 漏洞数:1 )

1

难道是pinyinup.exe

4# 回复此人
2014-07-26 17:21 | Knight ( 实习白帽子 | Rank:74 漏洞数:13 | 刚刚上洗手间，看到一个玉树临风的少年，气...)

0

@疯狗这个算通用不？

5# 回复此人
2014-08-10 21:01 | sec_jtn ( 普通白帽子 | Rank:134 漏洞数:56 | 本想无耻的刷rank，最后发现是我想太多了。...)

0

搜狗也有自己的应急平台了

6# 回复此人

漏洞概要 关注数(36) 关注此漏洞

缺陷编号： WooYun-2014-69211

漏洞标题： 利用搜狗拼音输入法放置猥琐后门

相关厂商： 搜狗