破壳企业应急安全(防御方向)课程 应急响应 勒索病毒 挖矿木马 DDOS 日志分析

猎豹浏览器远程命令执行漏洞(有条件)

编号148310
Urlhttp://www.wooyun.org/bug.php?action=view&id=148310
漏洞状态厂商已经确认
漏洞标题猎豹浏览器远程命令执行漏洞(有条件)
漏洞类型远程代码执行
厂商金山软件集团
白帽子路人甲
提交日期2015-10-21 17:45:00
公开日期2016-01-19 18:20:00
修复时间(not set)
确认时间2015-10-21 00:00:00
Confirm Spend0
漏洞标签远程代码执行 浏览器插件漏洞 浏览器漏洞利用技巧
关注数0
收藏数0
白帽评级
白帽自评rank20
厂商评级
厂商评rank4
漏洞简介
                 猎豹浏览器远程命令执行漏洞
漏洞细节

首先我在这里先丢两个xss 本来以为用的上的 但是貌似用不上了 两个xss 都是有权限调用浏览器部分api的 一起修了吧!

http://m.news.liebao.cn/index.html?f=self#channel=health"><img src=1 onerror=alert(location.href)>


http://www.liebao.cn/store/list.html?%E7%BF%BB%E8%AF%91%27%3E%3Cimg%20src=1%20onerror=alert(location.href)%3E


问题出现在皮肤安装这里 我原本以为只有liebao.cn/域名下的crx才有权限直接静默安装 ,事实不是的 更何况liebao.cn下就可以静默安装也是不行的!
商店的皮肤地址:http://www.liebao.cn/skin/upload/main//skin_main20150210132806OPI0n.crx/upload/main//skin_main20150210132806OPI0n.crx
回车访问此地址皮肤直接就安装上了

1.png


于是在猎豹下载了个皮肤下载 谷歌打包了个cmd.exe进去

2.png


在虚拟机搭建了个网站 把打包好的crx丢了进去
那怎么让这个皮肤被安装上呢 ,
经过一番测试 ie内核下访问此crx都是直接被解析成乱码

3.png


4.png


而极速模式下 直接就把crx给安装了 没有任何提示的

5.png


这样以来就想到了二哥的思路

 WooYun: QQ浏览器远程任意命令执行漏洞(附有分析和利用) 


1. win7下,关闭UAC的情况下,可以写入启动目录,
cmd.exe 重命名为 ../../../../../../../../../ProgramData/Microsoft/Windows/Start
Menu/Programs/Startup/cmd.exe 即可。
XP就不测试了 网速不行 下载个系统下载半天!

POC

5.png


修复方案

1.先把那两处xss修了把
2.皮肤判断是不是皮肤商店的url,不是则不安装

状态信息 2015-10-21: 细节已通知厂商并且等待厂商处理中
2015-10-21: 厂商已经确认,细节仅向厂商公开
2015-10-24: 细节向第三方安全合作伙伴开放(绿盟科技唐朝安全巡航
2015-12-15: 细节向核心白帽子及相关领域专家公开
2015-12-25: 细节向普通白帽子公开
2016-01-04: 细节向实习白帽子公开
2016-01-19: 细节向公众公开
厂商回复收到,非常感谢!
回应信息危害等级:低漏洞Rank:4 确认时间:2015-10-21 18:00