小米执行任意 JavaScript

在这篇文章中，我将告诉你我是如何使用 HTML 注入在小米浏览器中执行任意 JavaScript 的。

描述

由于缺乏 HTML 清理，可能会在读取模式下注入恶意 iframe 标签并执行任意 JavaScript 代码。

我查看浏览器文件：///android_asset/readmode/Readability.js源代码，HTML 和 JavaScript 进行了清理，但是在我阅读了 readmode 活动中的 java 源代码和reading_mode_html_internal.js源代码之后。

我发现我有机会使用 HTML 有效负载，而无需通过<title>标记内的清理。

在com.android.browser.readmode.e.java代码段

在file:///android_asset/readmode/reading_mode_html_internal.js代码段

将 HTML <title>标记获取到字符串后，将不会通过清理。

复制步骤

• 创建  包含以下内容的malware_frame.html文件
•  使用以下内容创建 poc.html文件
• 运行本地服务器localhost:8080
• 在浏览器中，打开以下网址http://localhost:8080/poc.html
• 在 Readmode ON 后立即执行来自malware_frame.html的 JavaScript