Chrome 沙箱逃逸 -- Plaid CTF 2020 mojo

已于 2024-02-07 16:09:29 修改
阅读量3.5k 收藏 41
点赞数 55
分类专栏: # Chrome 文章标签: chrome mojo 沙箱逃逸
于 2024-02-07 16:05:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61670993/article/details/135993133
版权

文章目录

前置知识

Mojo & Services 简介
chromium mojo 快速入门
Mojo docs
Intro to Mojo & Services

参考文章

本文主要参考 Plaid CTF 2020 mojo Writeup

环境搭建

题目环境

给了 docker 环境,所以直接启 docker 即可。

安装 docker

sudo snap install docker

运行 run.sh 脚本:

./run.sh

运行 chrome

./chrome --disable-gpu --remote-debugging-port=1338 --enable-blink-features=MojoJS,MojoJSTest url

调试环境

这里单独启一个 web 服务:

python3 -m http.server 8000

调试脚本:

# gdbinit
# 读取符号
file ./chrome
# 设置启动参数
set args --disable-gpu --remote-debugging-port=1338 --user-data-dir=./userdata --enable-blink-features=MojoJS url
# 设置执行fork后继续调试父进程
set follow-fork-mode parent

然后 gdb 调试即可:

gdb -x gdbinit

题目分析

附件分析

题目新定义了一个 PlaidStore 接口:

module blink.mojom;

// This interface provides a data store
interface PlaidStore {
   

  // Stores data in the data store
  StoreData(string key, array<uint8> data);

  // Gets data from the data store
  GetData(string key, uint32 count) => (array<uint8> data);
};

该接口定义了两个方法 StoreDataGetData 分别用于向 data store 中存储数据和获取数据。

然后在浏览器端实现 PlaidStore 接口:

namespace content {
   

class RenderFrameHost;

class PlaidStoreImpl : public blink::mojom::PlaidStore {
   
 public:
  explicit PlaidStoreImpl(RenderFrameHost *render_frame_host);

  static void Create(
      RenderFrameHost* render_frame_host,
      mojo::PendingReceiver<blink::mojom::PlaidStore> receiver);

  ~PlaidStoreImpl() override;

  // PlaidStore overrides:
  void StoreData(
      const std::string &key,
      const std::vector<uint8_t> &data) override;

  void GetData(
      const std::string &key,
      uint32_t count,
      GetDataCallback callback) override;

 private:
  RenderFrameHost* render_frame_host_;
  std::map<std::string, std::vector<uint8_t> > data_store_;
};

}

可以看到这里存在两个私有变量其中一个是 data_store_,这个好理解,其就是用来存储数据的;这里的 render_frame_host_ 是神马东西呢?

render 进程中的每一个 frame 都在 browser 进程中对应一个 RenderFrameHost,很多由浏览器提供的 mojo 接口就是通过 RenderFrameHoset 获取的。在 RenderFrameHost 初始化阶段,会在 BinderMap 中填充所有公开的 mojo 接口:

@@ -660,6 +662,10 @@ void PopulateFrameBinders(RenderFrameHostImpl* host,
   map->Add<blink::mojom::SerialService>(base::BindRepeating(
       &RenderFrameHostImpl::BindSerialService, base::Unretained(host)));
 #endif  // !defined(OS_ANDROID)
+
+  map->Add<blink::mojom::PlaidStore>(
+      base::BindRepeating(&RenderFrameHostImpl::CreatePlaidStore,
+                          base::Unretained(host)));
 }

当一个 render frame 请求该接口时,在 BinderMap 中关联的回调函数 RenderFrameHostImpl::CreatePlaidStore 就会被调用,其定义如下:

void RenderFrameHostImpl::CreatePlaidStore(
    mojo::PendingReceiver<blink::mojom::PlaidStore> receiver) {
   
  PlaidStoreImpl::Create(this, std::move(receiver));
}

其直接调用了 PlaidStoreImpl::Create 函数:

// static
void PlaidStoreImpl::Create(
    RenderFrameHost *render_frame_host,
    mojo::PendingReceiver<blink::mojom::PlaidStore> receiver) {
   
  mojo::MakeSelfOwnedReceiver(std::make_unique<PlaidStoreImpl>(render_frame_host),
                              std::move(receiver));
}

通过该函数,一个 PlaidStoreImpl 就被创建,并且该 PendingReceiver 与一个 SelfOwnedReceiver 绑定。

漏洞分析

该题存在两个漏洞,分别是 OOBUAF,接下来直接分别讲解。

OOB

来分析下存取数据的操作:

void PlaidStoreImpl::StoreData(
    const std::string &key,
    const std::vector<uint8_t> &data) {
   
  if (!render_frame_host_->IsRenderFrameLive()) {
   
    return;
  }
  data_store_[key] = data;
}

void PlaidStoreImpl::GetData(
    const std::string &key,
    uint32_t count,
    GetDataCallback callback) {
   
  if (!render_frame_host_->IsRenderFrameLive()) {
   
    std::move(callback).Run({
   });
    return;
  }
最低0.47元/天 解锁文章
Chromium Mojo & IPC
juruiyuan111的专栏
06-02 2102
Chromium Mojo & IPC Published:January 03, 2020bykeyou Categories: chromium5 infrastructure1 Tags: chromium12 infrastructure1 这篇文章来自我的一个开源项目,建议配合项目中的源码来辅助理解。项目地址:keyou/chromium_demo: A series of demos to show how chromium is c...
Chromium Mojo通信
u010843299的博客
10-20 584
一个MessagePipe中有一对handle,分别是handle0和handle1,向其中一个handle写的数据可以从另外一个handle读出来,这是前面已经说过的,如果把其中的一个handle发送到另外一个进程,这一对handle之间依然能够相互收发数据。Mojo提供了多种方法来发送handle到其他的进程,其中最简单的是使用 Invitation。初始化Mojo有两种方式,一种适用于静态链接Mojo的程序,一种适用于动态链接Mojo的程序。以下是静态链接时的初始化方法,动态链接时只需要把。
CNVD-2025-06046:Google Chrome沙箱逃逸漏洞大揭秘与防护指南
最新发布
weixin_43172311的博客
04-07 973
好了,今天的“浏览器越狱”事件揭秘就到这里啦!希望每位小伙伴都能成为聪明的“狱警”,守护好自己的网络世界。记住,安全上网,快乐冲浪,咱们下次再见!🌈扩展阅读深入解析原型链污染漏洞(CVE-2019-10744):从原理到实战防你的网站正在裸奔?Lodash原型链污染漏洞引发的“全员恶人“事件。
chrome怎么调用硬件_利用ASLR薄弱点:Chrome沙箱逃逸漏洞分析
weixin_39611725的博客
12-01 398
概述我们在Chrome中,发现了一系列可能存在的沙箱逃逸漏洞。在此之后,我们认为可以将这些漏洞中的一个与渲染器存在的漏洞共同利用,形成一条完整的漏洞利用链,同时也能够让我们更好地理解现代Chrome漏洞利用所需的机制。考虑到全部可用的漏洞,最有可能被利用的是Issue 1755,这一Use-After-Free漏洞与经典的JavaScript引擎回调漏洞相似。目前看来,这是一个很好的候...
android沙箱逃逸漏洞,长达数月的努力:揭秘Project Zero团队如何发现Chrome沙箱逃逸漏洞...
weixin_42372731的博客
06-01 297
}// Remove all refs from our watched dispatchers and fire cancellations.for (auto& entry : watches) {entry.second->dispatcher()->RemoveWatcherRef(this, entry.first);entry.second->Cancel()...
Chrome-mojo The Service Manager & Services
LIJIWEI0611的博客
04-20 656
概述是一个组件,像 Chromium 这样的大型应用程序可以使用它来支持跨平台、多进程、面向服务、连字符形容词负载的体系结构。本文档介绍了如何将嵌入到应用程序中,以及如何定义和注册服务以供其管理。如果您只想阅读有关定义服务和使用公共服务 API 的内容,请跳至主要部分。
chrome-mojo 概述
LIJIWEI0611的博客
02-07 1079
Broker提供介绍机制(Introduce)帮助一对node建立IPC链接broker是个特殊的node channel,规定只有它能introduce(通过调用的能力找到两个node)并发送Introduce message,这就要求broker需要跟每个node都有链接node与node之间一开始只有IPC点对点通信,假如要发给另一个node,但是和当前node之间没有直接的IPC,则需要通过broker建立一个新的IPC通道,消息就是这个过程.
chromium Mojo介绍
木希博客
05-25 2298
IPC,全称Inter-Process Communication,字面意思就是进程间通信或者跨进程通信。 IPC的方式通常有管道(包括无名管道和命名管道)、消息队列、信号量、共享存储、Socket、Streams等。其中 Socket和Streams支持不同主机上的两个进程IPC。安卓的IPC通信还多了Bundle。对此部分有兴趣的可以看看如下的博客:https://blog.csdn.net/LEON1741/article/details/77934508,对Linux的IP...
chromium mojo 快速入门
热门推荐
tornmy的博客
09-17 1万+
术语: 消息管道:是一组端点. 每个endpoint有一个接受消息的队列, 在一个端点上写消息会高效地放入对端端点的消息队列上。所以消息管道是双工通信的。 mojom文件:描述了接口,它们描述了类似proto files的强类型消息结构,通过binding generator可以产生对应于不同语言的文件。 给定一个mojom interface和一条message pipe, 它的两个端点可...
Chromium浏览器media子系统mojo说明
David的博客
02-20 1331
Chromium浏览器media子系统mojo说明
chromium 40 Mojo JavaScript 绑定 API
一朵花开的时间
09-29 985
Mojo JavaScript 绑定 API 官网说明: https://chromium.googlesource.com/chromium/src/+/refs/heads/main/mojo/public/js/README.md src\services\test\echo 有一个echo_service demo。可以结合使用。 注意编译生成 mojom 的 js 接口文件的命令 ninja -C out\Debug services\test\echo\public\mojom:mojom_j
镇守最后一道防线:三种逃逸沙盒技术分析
weixin_34290352的博客
09-20 874
本文讲的是镇守最后一道防线:三种逃逸沙盒技术分析, 自从诞生沙盒技术来阻挡恶意软件之后,恶意软件也在时刻想办法逃避沙盒,这就是沙盒逃逸技术,本文将深入分析三个主要类别的沙盒逃逸技术。 早在十多年前,人们就已经使用沙盒技术来对实施高级持续性威胁(APT)的恶意软件进行阻挡和分析了。当时,恶意软件已经可以通过结合多态性和加密,实现了一种复杂的混淆方法以及使...
谷歌为 Chrome 沙箱逃逸利用链提供三倍赏金
smellycat000的专栏
06-02 761
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士谷歌宣布称,即日起至2023年12月1日期间,猎洞人员如能在 Chrome web浏览器中报告沙箱逃逸利用链,则可获得三倍于标准赏金的奖励。谷歌此举旨在鼓励安全研究员找到并报告可被攻击者用于攻陷 Chrome 浏览器安全机制的漏洞,从而助力增强软件弹性。三倍赏金仅适用于在这半年期间首个提交起作用的完整攻击链的猎洞人员。谷歌解释称,“完整链利用必须...
CTF python沙箱逃逸进阶题目
weixin_30432579的博客
01-12 662
future引用了python3的新特性,所以是不能直接回回显,得用print file函数可以读取。 print(().__class__.__bases__[0].__subclasses__()[40]('./sx2.py').read()) 读取源码后: from __future__ import print_function banned = [ "import", ...
38|浏览器原理(二):浏览器进程通信与网络渲染详解
sucaiwa的博客
03-05 1345
你好,我是LMOS。通过前面的学习,你应该对浏览器内的进程和线程已经有了一个大概的印象,也知道了为了避免一些问题,现代浏览器采用了多进程架构。这节课,我们首先要说的是Chrome中的进程通信。这么多的进程,它们之间是如何进行IPC通信的呢?要知道,如果IPC通信设计得不合理,就会引发非常多的问题。
全面解读Google Chrome浏览器特性与技术
weixin_31688273的博客
10-06 1825
本文还有配套的精品资源,点击获取 简介:Google Chrome浏览器以其高效、简洁、安全的设计理念和用户友好的界面获得了全球用户的青睐。该浏览器搭载V8 JavaScript引擎,采用多进程架构和沙盒机制,确保了高性能和安全性。Chrome还具备自动更新、隐私保护和强大的扩展生态。此外,它支持移动设备和多平台兼容性,以及企业用户的批量部署,这些特性共同推动了网络浏览体验...
Nodejs沙箱逃逸--总结
m0_68976043的博客
08-19 3337
每一个包都有一个自己的上下文,包之间的作用域是互相隔离不互通的,也就是说就算我在y1.js中require了y2.js,那么我在y1.js中也无法直接调用y2.js中的变量和函数,举个例子。在Web端(浏览器),发挥作用的一般是JavaScript,学过JavaScript的师傅应该都知道我们打开浏览器的窗口是JavaScript中最大的对象。我们都知道函数内和函数外是两个作用域,不过当在函数中的作用域想要使用函数外的变量时,要通过形参来传递,当参数过多时这种方法就变的麻烦起来了。
高级逃逸技术(第一篇)
艰难的活着
08-16 1055
该漏洞允许攻击者在Docker容器内提升权限并逃逸到宿主机。:定期更新虚拟化、容器、沙箱环境,确保使用最新的安全补丁。:通过使用硬件虚拟化技术,可以更有效地防止逃逸攻击。
seccomp-tools:CTF沙箱分析与seccomp规则模拟的利器
该工具特别适合用于Capture The Flag(CTF)比赛中pwn(漏洞利用)挑战的沙箱分析,虽然某些特性可能特为CTF设计,但其核心功能对于实际环境中的seccomp分析同样具有很大价值。" seccomp-tools的主要特点和功能如下...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值