Baidu Hi 两个可能被利用的漏洞曝光！

煎饼

转载请注明出处：http://hi.baidu.com/biweilun
: a8 J7 l" y3 b+ B# U我现在对百度的新聊天工具进行了稍微深入的分析，再下一步的分析工作就是在汇编调试里面展开的了。先说下我发现的可能威胁：
1、Swf文件跨站漏洞
在Baidu Hi 的安装文件夹里的MovieData文件夹里面有3个swf文件，分别是loginCarton.swf，videoConnectingBig.swf和videoConnectingSmall.swf。其中，loginCarton.swf的可能别利用漏洞最大，这点上百度不如腾讯，没有做好swf文件的内嵌工作，让swf文件暴露在外面。病毒可以感染并放入恶意的swf文件来覆盖他们。loginCarton.swf是baiduhi的启动画面，这是非常危险的，因为swf木马在网上非常流行。还有，病毒要获取这个目录非常简单，只要以system来读取注册表就好，路径会保存在注册表的[HKEY_LOCAL_MACHINE\SOFTWARE\3D SoftWare]下的"path"键值里面，如果修改注册表，人为改变该键值，可能引发更大的危机！
+ V7 y! m3 z% ]0 E% }% e7 k
2、自动升级漏洞
3 X. k7 r4 w3 M7 b% ^& d$ R5 v该漏洞目前没有测试，不过应该将来会盛行的。因为目前大家的Baidu HI都是最新版，不需要升级。将来如果需要升级的时候，这个漏洞就很危险了。Baidu Hi 的升级文件在AutoUpdate文件夹里面，

6 D0 }8 w* ?" f  f$ p/ F8 `% _
BaiduHiUpdate.exe文件通过调用config.ini文件来升级，我们来看config.ini文件的代码：
$ ~* e" a. H* ?5 I! j0 ]; d3 ?7 ?; {& @[AutoUpdate]
/ F$ u/ \; g$ y0 V6 ?ConfigFileUrl=http://update.im.baidu.com/AutoUpdate/AutoUpdate.xml
* a7 o8 W' b( _. O% l; R" J9 BIsAutoUpdate=1
: ~- y- V* e- h* C* y) o3 b0 A1 kConfigFileKey1=3F26F386EB827C141DF8FE539B7ECDF4
" T/ ~# A) s1 p) D# w& ZConfigFileKey2=128509257100000000
LSTm_AutoUpdate=1206596754
看来使用的是下载http://update.im.baidu.com/AutoUpdate/AutoUpdate.xml这个文件，我下载下来打开一看，这个文件和AutoUpdate文件夹里面的那个AutoUpdate.xml文件内容相同。代码都是如下的：
<AutoUpdate version="1.0">
/ `* I( n- {: l- ?) r& e0 |<Updater version="1.0.0.8" url="http://update.im.baidu.com/AutoUpdate/updater48-49.cab" md5="8312201dc14e0ff595680f6bcf4d0fb1" hint="update 49">
% ~+ o% r; ~: ~  Y0 ^% C2 y/ N. r; [<File name="atl71.dll" dest="updater:\" type="bin" operation="add" />
% [0 J5 G3 @% {; a; e+ ~5 \<File name="AutoInstall.exe" dest="updater:\" type="bin" operation="add" />
<File name="AutoUpdateUtil.dll" dest="updater:\" type="bin" operation="add" />
5 r( `2 w' [1 y4 N( d<File name="BaiduHiUpdate.exe" dest="updater:\" type="bin" operation="add" />
+ x. {+ J+ I! i/ v/ c! b<File name="Basement.dll" dest="updater:\" type="bin" operation="add" />
( x8 b" y3 b/ _4 d) t& L<File name="config.ini" dest="updater:\" type="resource" operation="add" />
/ [. O2 a$ N7 ^# Z  G<File name="msvcp71.dll" dest="updater:\" type="bin" operation="add" />
3 U9 _8 j& S& H6 {6 _6 c<File name="msvcr71.dll" dest="updater:\" type="bin" operation="add" />
2 @: r8 _; o' m( N<File name="resource.db" dest="updater:\" type="resource" operation="add" />
7 Q$ l) d7 m' @; V3 q<File name="VersionInfo.xml" dest="updater:\" type="resource" operation="add" />
</Updater>
<Module name="BaiduHi" version="1.0.1.0" level="forcePrompt">
% j2 z1 _! D; ~5 \$ f<Upgrade versi hint="update 49" md5="f684d6220bb2771433410e482287cc58" url="http://update.im.baidu.com/AutoUpdate/upgrade48-49.cab">
% J9 m6 I% g, z! h/ H( V* G# B) b<File name="AppUtil.dll" dest="BaiduHi:\" type="bin" operation="add" />
<File name="BaiduHi.exe" dest="BaiduHi:\" type="bin" operation="add" />
1 Z; `( r8 i% i: ?: p<File name="Basement.dll" dest="BaiduHi:\" type="bin" operation="add" />
0 E- X0 }* L' O# @) c<File name="BugReport.exe" dest="BaiduHi:\" type="bin" operation="add" />
, W7 S6 a6 ~6 o0 H3 V  k<File name="CSTransfer.dll" dest="BaiduHi:\" type="bin" operation="add" />
<File name="HistoryExplorer.dll" dest="BaiduHi:\" type="bin" operation="add" />
" C6 [  `, `) R: I7 D3 T4 v, j<File name="ImEngine.dll" dest="BaiduHi:\" type="bin" operation="add" />
<File name="ImStorage.dll" dest="BaiduHi:\" type="bin" operation="add" />
7 B. K+ U( h; q. \; x" `  M1 M<File name="LocalLog.dll" dest="BaiduHi:\" type="bin" operation="add" />
' f* k2 u. Y, @<File name="NetService.dll" dest="BaiduHi:\" type="bin" operation="add" />
9 @, f5 s( w; i; v9 P<File name="RUDPLib.dll" dest="BaiduHi:\" type="bin" operation="add" />
<File name="SkinDLL.dll" dest="BaiduHi:\" type="bin" operation="add" />
<File name="UPnPDll.dll" dest="BaiduHi:\" type="bin" operation="add" />
% x2 k) e& y! u. ]9 F# u<File name="VersionInfo" dest="BaiduHi:\" type="resource" operation="add" />
<File name="fmmgr.dll" dest="BaiduHi:\" type="bin" operation="add" />
<File name="imcs.dll" dest="BaiduHi:\" type="bin" operation="add" />
3 L. G% t, |' Q2 R<File name="uninst.exe" dest="BaiduHi:\" type="bin" operation="add" />
</Upgrade>
; `( n+ g# U$ `- N* o<FullPackage hint="update 49" md5="3af7588de47c7fdcb9ca5421de4c444c" url="http://update.im.baidu.com/AutoUpdate/fullpackage48-49.cab">
<File name="AppUtil.dll" dest="BaiduHi:\" type="bin" operation="add" />
<File name="BaiduHi.exe" dest="BaiduHi:\" type="bin" operation="add" />
<File name="Basement.dll" dest="BaiduHi:\" type="bin" operation="add" />
% W# T# n/ f" u5 H# N<File name="BugReport.exe" dest="BaiduHi:\" type="bin" operation="add" />
<File name="CSTransfer.dll" dest="BaiduHi:\" type="bin" operation="add" />
. t0 Q1 C! k4 i" R% L; ?7 n$ j& B. e<File name="HistoryExplorer.dll" dest="BaiduHi:\" type="bin" operation="add" />
8 ?2 F# h& g: y$ C! d, [" [<File name="ImEngine.dll" dest="BaiduHi:\" type="bin" operation="add" />
2 w+ u9 @4 Y9 T% T0 y( h- r# l2 K4 B% n<File name="ImStorage.dll" dest="BaiduHi:\" type="bin" operation="add" />
2 i( x9 o! E8 j) b. K* h$ p3 j<File name="LocalLog.dll" dest="BaiduHi:\" type="bin" operation="add" />
<File name="MovieData\loginCarton.swf" dest="BaiduHi:\MovieData\" type="resource" operation="add" />
<File name="MovieData\videoConnectingBig.swf" dest="BaiduHi:\MovieData\" type="resource" operation="add" />
" k6 Q$ m5 |/ H* I; Q/ |0 U3 u<File name="MovieData\videoConnectingSmall.swf" dest="BaiduHi:\MovieData\" type="resource" operation="add" />
<File name="NetService.dll" dest="BaiduHi:\" type="bin" operation="add" />
<File name="RUDPLib.dll" dest="BaiduHi:\" type="bin" operation="add" />
<File name="ServerConfig.dat" dest="BaiduHi:\" type="resource" operation="add" />
<File name="SkinDLL.dll" dest="BaiduHi:\" type="bin" operation="add" />
<File name="SysCustomStatus.xml" dest="BaiduHi:\" type="resource" operation="add" />
<File name="UPnPDll.dll" dest="BaiduHi:\" type="bin" operation="add" />
<File name="VersionInfo" dest="BaiduHi:\" type="resource" operation="add" />
1 l7 c/ X0 A% m1 x/ P<File name="atl71.dll" dest="BaiduHi:\" type="bin" operation="add" />
<File name="dbghelp.dll" dest="BaiduHi:\" type="bin" operation="add" />
<File name="fmmgr.dll" dest="BaiduHi:\" type="bin" operation="add" />
% R8 {/ {$ \8 Z( t3 y<File name="imcs.dll" dest="BaiduHi:\" type="bin" operation="add" />
8 ?9 b" ]) J7 M' C1 O, o<File name="licence.txt" dest="BaiduHi:\" type="resource" operation="add" />
<File name="mediactrl.dll" dest="BaiduHi:\" type="bin" operation="add" />
4 T1 f& j3 b7 J3 W) T<File name="msvcp71.dll" dest="BaiduHi:\" type="bin" operation="add" />
<File name="msvcr71.dll" dest="BaiduHi:\" type="bin" operation="add" />
5 {  |* L6 T7 ]( p8 ?<File name="resource.db" dest="BaiduHi:\" type="resource" operation="add" />
8 W" T8 b" p$ e0 s5 u" o6 M<File name="riched20.dll" dest="BaiduHi:\" type="bin" operation="add" />
) l, L/ o# ~% e! J9 \0 `<File name="skin\default.db" dest="BaiduHi:\skin\" type="resource" operation="add" />
<File name="skin\rose.db" dest="BaiduHi:\skin\" type="resource" operation="add" />
<File name="sound\msg.wav" dest="BaiduHi:\sound\" type="resource" operation="add" />
<File name="sound\online.wav" dest="BaiduHi:\sound\" type="resource" operation="add" />
<File name="sound\phone.wav" dest="BaiduHi:\sound\" type="resource" operation="add" />
<File name="sound\snapshot.wav" dest="BaiduHi:\sound\" type="resource" operation="add" />
<File name="sound\system.wav" dest="BaiduHi:\sound\" type="resource" operation="add" />
4 L* m5 [# X  f" u' `( ]<File name="sysimage\FaceError.gif" dest="BaiduHi:\sysimage\" type="resource" operation="add" />
2 i8 `+ M. \& k, h. Y<File name="sysimage\FaceLoading.gif" dest="BaiduHi:\sysimage\" type="resource" operation="add" />
7 a$ |) n, S! H5 K$ n$ \' ~<File name="sysimage\ImageError.gif" dest="BaiduHi:\sysimage\" type="resource" operation="add" />
) I6 [( S0 x* O" C( k8 O<File name="sysimage\ImageLoading.gif" dest="BaiduHi:\sysimage\" type="resource" operation="add" />
5 x8 w+ i3 G+ |! @5 Q" F<File name="uninst.exe" dest="BaiduHi:\" type="bin" operation="add" />
<File name="zlib1.dll" dest="BaiduHi:\" type="bin" operation="add" />
9 E/ [; ~" E6 F9 h4 j</FullPackage>
</Module>
4 I5 {$ }# B6 X2 H2 j1 F</AutoUpdate>
通过AutoUpdate.xml文件来下载http://update.im.baidu.com/AutoUpdate/updater48-49.cab ，我们可以通过构造恶意的config.ini，然后让程序下载我们构造的恶意AutoUpdate.xml，再让程序通过AutoUpdate.xml下载恶意构造好的cab安装包，释放。还是危害挺大的！
最后忠告大家，不要下载除官方以外任何地方的Baidu Hi ！否则后够可能很严重，这次我发现的这两个漏洞的利用说容易也容易，说不容易也不容易，本人如上所说只是一点肤浅之见，没什么技术含量，只是觉得软件搞这么明文不好。提醒大家小心一点而已，没有别的意图，更没有哗众取宠的意思。