当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-093620

漏洞标题:从百度某论坛存储型XSS到百度浏览器远程命令执行

相关厂商:百度

漏洞作者: 路人甲

提交时间:2015-01-24 01:10

修复时间:2015-04-24 01:12

公开时间:2015-04-24 01:12

漏洞类型:远程代码执行

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-01-24: 细节已通知厂商并且等待厂商处理中
2015-01-26: 厂商已经确认,细节仅向厂商公开
2015-01-29: 细节向第三方安全合作伙伴开放
2015-03-22: 细节向核心白帽子及相关领域专家公开
2015-04-01: 细节向普通白帽子公开
2015-04-11: 细节向实习白帽子公开
2015-04-24: 细节向公众公开

简要描述:

。。。

详细说明:

新版本的百度浏览器,未修复下载目录可通过特权API直接设置的漏洞,具体见: WooYun: 百度浏览器远程命令执行五
那么,只要找到一个特权域下的XSS,即可导致下载程序到指定目录:
其中http://bbs.liulanqi.baidu.com/属于特权域,如下图所示,可以成功在该域下执行特权API

1.png


-------------------------------
http://bbs.liulanqi.baidu.com/ 是一个 DZ 3.2 的论坛,默认功能不知道有没有XSS,但是百度自己所添加的百度云附件功能却出现了存储型XSS。XSS的成因是获取http://pan.baidu.com的链接后,通过正则,匹配出链接后的JSON数据,parse后,未经过滤,即被拼接进入DOM中。
只需要回帖,发表以下内容:

[url=http://pan.baidu.com/s/1dDgZov3?frm=fujian#%7B%22surl%22%3A%22s%2F1dDgZov3%3Ffrm%3Dfujian%22%2C%22sdate%22%3A1422007684%2C%22sname%22%3A%22<img src onerror=console.log(111111)>logo.png%22%2C%22isdir%22%3A0%2C%22uk%22%3A%222600757472%22%2C%22uname%22%3A%22abc%22%7D]百度云附件:logo.png[/url]


可以看到console.log(111111) 被成功执行。

2.jpg


可以直接看帖子:http://bbs.liulanqi.baidu.com/forum.php?mod=viewthread&tid=1150&pid=94627&page=11&extra=#pid94627
打开F12即可看到输出的111111
--------------------------------------------------
结合以上两点, 即向启动目录写入文件。(具体漏洞利用代码参见 WooYun: 百度浏览器远程命令执行五 ),
利用效果图如下:

3.jpg

漏洞证明:

见详细说明

修复方案:

1. 修复存储型xss
2. 修复可以通过特权域API来设置下载任意下载目录的问题。
当前的设置下载目录的方式是:点击设置下载目录按钮-》用户选择路径-》选择完成后,返回用户所选择的路径-》特权域API对所选择的路径设置进行保存(百度浏览器是这种)
正确的设置下载目录的方式是: 点击设置下载目录按钮-》用户选择路径-》选择完成后,在浏览器端的代码里保存下载目录的设置 (一般浏览器都是这种)

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2015-01-26 10:25

厂商回复:

感谢提交,已通知业务部门处理

最新状态:

暂无