Chrome 沙箱逃逸 -- Plaid CTF 2020 mojo

已于 2024-02-07 16:09:29 修改
阅读量3.5k 收藏 40
点赞数 55
分类专栏: # Chrome 文章标签: chrome mojo 沙箱逃逸
于 2024-02-07 16:05:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61670993/article/details/135993133
版权

文章目录

前置知识

Mojo & Services 简介
chromium mojo 快速入门
Mojo docs
Intro to Mojo & Services

参考文章

本文主要参考 Plaid CTF 2020 mojo Writeup

环境搭建

题目环境

给了 docker 环境,所以直接启 docker 即可。

安装 docker

sudo snap install docker

运行 run.sh 脚本:

./run.sh

运行 chrome

./chrome --disable-gpu --remote-debugging-port=1338 --enable-blink-features=MojoJS,MojoJSTest url

调试环境

这里单独启一个 web 服务:

python3 -m http.server 8000

调试脚本:

# gdbinit
# 读取符号
file ./chrome
# 设置启动参数
set args --disable-gpu --remote-debugging-port=1338 --user-data-dir=./userdata --enable-blink-features=MojoJS url
# 设置执行fork后继续调试父进程
set follow-fork-mode parent

然后 gdb 调试即可:

gdb -x gdbinit

题目分析

附件分析

题目新定义了一个 PlaidStore 接口:

module blink.mojom;

// This interface provides a data store
interface PlaidStore {
   

  // Stores data in the data store
  StoreData(string key, array<uint8> data);

  // Gets data from the data store
  GetData(string key, uint32 count) => (array<uint8> data);
};

该接口定义了两个方法 StoreDataGetData 分别用于向 data store 中存储数据和获取数据。

然后在浏览器端实现 PlaidStore 接口:

namespace content {
   

class RenderFrameHost;

class PlaidStoreImpl : public blink::mojom::PlaidStore {
   
 public:
  explicit PlaidStoreImpl(RenderFrameHost *render_frame_host);

  static void Create(
      RenderFrameHost* render_frame_host,
      mojo::PendingReceiver<blink::mojom::PlaidStore> receiver);

  ~PlaidStoreImpl() override;

  // PlaidStore overrides:
  void StoreData(
      const std::string &key,
      const std::vector<uint8_t> &data) override;

  void GetData(
      const std::string &key,
      uint32_t count,
      GetDataCallback callback) override;

 private:
  RenderFrameHost* render_frame_host_;
  std::map<std::string, std::vector<uint8_t> > data_store_;
};

}

可以看到这里存在两个私有变量其中一个是 data_store_,这个好理解,其就是用来存储数据的;这里的 render_frame_host_ 是神马东西呢?

render 进程中的每一个 frame 都在 browser 进程中对应一个 RenderFrameHost,很多由浏览器提供的 mojo 接口就是通过 RenderFrameHoset 获取的。在 RenderFrameHost 初始化阶段,会在 BinderMap 中填充所有公开的 mojo 接口:

@@ -660,6 +662,10 @@ void PopulateFrameBinders(RenderFrameHostImpl* host,
   map->Add<blink::mojom::SerialService>(base::BindRepeating(
       &RenderFrameHostImpl::BindSerialService, base::Unretained(host)));
 #endif  // !defined(OS_ANDROID)
+
+  map->Add<blink::mojom::PlaidStore>(
+      base::BindRepeating(&RenderFrameHostImpl::CreatePlaidStore,
+                          base::Unretained(host)));
 }

当一个 render frame 请求该接口时,在 BinderMap 中关联的回调函数 RenderFrameHostImpl::CreatePlaidStore 就会被调用,其定义如下:

void RenderFrameHostImpl::CreatePlaidStore(
    mojo::PendingReceiver<blink::mojom::PlaidStore> receiver) {
   
  PlaidStoreImpl::Create(this, std::move(receiver));
}

其直接调用了 PlaidStoreImpl::Create 函数:

// static
void PlaidStoreImpl::Create(
    RenderFrameHost *render_frame_host,
    mojo::PendingReceiver<blink::mojom::PlaidStore> receiver) {
   
  mojo::MakeSelfOwnedReceiver(std::make_unique<PlaidStoreImpl>(render_frame_host),
                              std::move(receiver));
}

通过该函数,一个 PlaidStoreImpl 就被创建,并且该 PendingReceiver 与一个 SelfOwnedReceiver 绑定。

漏洞分析

该题存在两个漏洞,分别是 OOBUAF,接下来直接分别讲解。

OOB

来分析下存取数据的操作:

void PlaidStoreImpl::StoreData(
    const std::string &key,
    const std::vector<uint8_t> &data) {
   
  if (!render_frame_host_->IsRenderFrameLive()) {
   
    return;
  }
  data_store_[key] = data;
}

void PlaidStoreImpl::GetData(
    const std::string &key,
    uint32_t count,
    GetDataCallback callback) {
   
  if (!render_frame_host_->IsRenderFrameLive()) {
   
    std::move(callback).Run({
   });
    return;
  }
最低0.47元/天 解锁文章
Chromium Mojo & IPC
juruiyuan111的专栏
06-02 2086
Chromium Mojo & IPC Published:January 03, 2020bykeyou Categories: chromium5 infrastructure1 Tags: chromium12 infrastructure1 这篇文章来自我的一个开源项目,建议配合项目中的源码来辅助理解。项目地址:keyou/chromium_demo: A series of demos to show how chromium is c...
Chromium Mojo通信
u010843299的博客
10-20 576
一个MessagePipe中有一对handle,分别是handle0和handle1,向其中一个handle写的数据可以从另外一个handle读出来,这是前面已经说过的,如果把其中的一个handle发送到另外一个进程,这一对handle之间依然能够相互收发数据。Mojo提供了多种方法来发送handle到其他的进程,其中最简单的是使用 Invitation。初始化Mojo有两种方式,一种适用于静态链接Mojo的程序,一种适用于动态链接Mojo的程序。以下是静态链接时的初始化方法,动态链接时只需要把。
chrome怎么调用硬件_利用ASLR薄弱点:Chrome沙箱逃逸漏洞分析
weixin_39611725的博客
12-01 393
概述我们在Chrome中,发现了一系列可能存在的沙箱逃逸漏洞。在此之后,我们认为可以将这些漏洞中的一个与渲染器存在的漏洞共同利用,形成一条完整的漏洞利用链,同时也能够让我们更好地理解现代Chrome漏洞利用所需的机制。考虑到全部可用的漏洞,最有可能被利用的是Issue 1755,这一Use-After-Free漏洞与经典的JavaScript引擎回调漏洞相似。目前看来,这是一个很好的候...
谷歌Chrome浏览器零日漏洞遭黑客大规模利用
最新发布
FreeBuf_的博客
03-27 1042
卡巴斯基网络安全研究人员发现高级威胁攻击者正在利用Chrome浏览器零日漏洞后,谷歌已紧急发布安全更新。该漏洞编号为CVE-2025-2783,攻击者通过Chrome安全框架与Windows操作系统交互过程中的逻辑错误,成功绕过了浏览器的沙箱保护机制,致使防护措施完全失效。
android沙箱逃逸漏洞,长达数月的努力:揭秘Project Zero团队如何发现Chrome沙箱逃逸漏洞...
weixin_42372731的博客
06-01 291
}// Remove all refs from our watched dispatchers and fire cancellations.for (auto& entry : watches) {entry.second->dispatcher()->RemoveWatcherRef(this, entry.first);entry.second->Cancel()...
Chrome-mojo The Service Manager & Services
LIJIWEI0611的博客
04-20 644
概述是一个组件,像 Chromium 这样的大型应用程序可以使用它来支持跨平台、多进程、面向服务、连字符形容词负载的体系结构。本文档介绍了如何将嵌入到应用程序中,以及如何定义和注册服务以供其管理。如果您只想阅读有关定义服务和使用公共服务 API 的内容,请跳至主要部分。
逃逸IE浏览器沙箱-在野0Day漏洞利用复现
10-13
标题中的“逃逸IE浏览器沙箱-在野0Day漏洞利用复现”指的是针对Internet Explorer(IE)浏览器的安全研究,特别是关于如何利用未公开(0Day)漏洞来突破浏览器的安全沙箱机制。沙箱是一种安全措施,它限制了恶意代码...
毕设&课程作业_毕方智能云沙箱(Bold-Falcon)是一个开源的自动化恶意软件分析系统;.zip
01-31
毕设与课程作业中的“毕方智能云沙箱(Bold-Falcon)”是一个开源的自动化恶意软件分析系统,它为IT专业学生提供了一种深入理解安全分析技术的实践平台。这个项目旨在帮助学生掌握如何构建一个能够检测和分析恶意软件...
chrome-extension-sandbox:玩转 Chrome 扩展
06-09
"Chrome-extension-sandbox"指的是Chrome扩展的沙箱环境,这是一个安全机制,用于隔离扩展的脚本执行,防止恶意代码对用户系统造成损害。 在Chrome扩展开发中,沙箱模型是核心安全特性之一。它将扩展的执行环境分为...
CVE-2020-6418漏洞复现:Chrome沙箱RCE的详细步骤
qq_56171392的博客
12-18 554
Chrome沙箱机制通常可以有效隔离网页内容与系统资源,但在此漏洞的影响下,攻击者能够绕过这一保护。该漏洞的根本原因在于Chrome内存管理中的缺陷。具体来说,攻击者可以构造一个恶意的JavaScript负载,使得Chrome在处理过程中出现内存损坏,进而导致任意代码的执行。CVE-2020-6418是一个影响Google Chrome浏览器的高危漏洞,允许攻击者在无沙箱环境下执行任意代码(RCE)。这一漏洞的存在使得攻击者能够绕过Chrome的安全机制,从而对受害者的系统造成严重威胁。
chrome-mojo 概述
LIJIWEI0611的博客
02-07 1028
Broker提供介绍机制(Introduce)帮助一对node建立IPC链接broker是个特殊的node channel,规定只有它能introduce(通过调用的能力找到两个node)并发送Introduce message,这就要求broker需要跟每个node都有链接node与node之间一开始只有IPC点对点通信,假如要发给另一个node,但是和当前node之间没有直接的IPC,则需要通过broker建立一个新的IPC通道,消息就是这个过程.
chromium Mojo介绍
木希博客
05-25 2286
IPC,全称Inter-Process Communication,字面意思就是进程间通信或者跨进程通信。 IPC的方式通常有管道(包括无名管道和命名管道)、消息队列、信号量、共享存储、Socket、Streams等。其中 Socket和Streams支持不同主机上的两个进程IPC。安卓的IPC通信还多了Bundle。对此部分有兴趣的可以看看如下的博客:https://blog.csdn.net/LEON1741/article/details/77934508,对Linux的IP...
chromium mojo 快速入门
热门推荐
tornmy的博客
09-17 1万+
术语: 消息管道:是一组端点. 每个endpoint有一个接受消息的队列, 在一个端点上写消息会高效地放入对端端点的消息队列上。所以消息管道是双工通信的。 mojom文件:描述了接口,它们描述了类似proto files的强类型消息结构,通过binding generator可以产生对应于不同语言的文件。 给定一个mojom interface和一条message pipe, 它的两个端点可...
Chromium浏览器media子系统mojo说明
David的博客
02-20 1313
Chromium浏览器media子系统mojo说明
chromium 40 Mojo JavaScript 绑定 API
一朵花开的时间
09-29 969
Mojo JavaScript 绑定 API 官网说明: https://chromium.googlesource.com/chromium/src/+/refs/heads/main/mojo/public/js/README.md src\services\test\echo 有一个echo_service demo。可以结合使用。 注意编译生成 mojom 的 js 接口文件的命令 ninja -C out\Debug services\test\echo\public\mojom:mojom_j
镇守最后一道防线:三种逃逸沙盒技术分析
weixin_34290352的博客
09-20 856
本文讲的是镇守最后一道防线:三种逃逸沙盒技术分析, 自从诞生沙盒技术来阻挡恶意软件之后,恶意软件也在时刻想办法逃避沙盒,这就是沙盒逃逸技术,本文将深入分析三个主要类别的沙盒逃逸技术。 早在十多年前,人们就已经使用沙盒技术来对实施高级持续性威胁(APT)的恶意软件进行阻挡和分析了。当时,恶意软件已经可以通过结合多态性和加密,实现了一种复杂的混淆方法以及使...
谷歌为 Chrome 沙箱逃逸利用链提供三倍赏金
smellycat000的专栏
06-02 756
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士谷歌宣布称,即日起至2023年12月1日期间,猎洞人员如能在 Chrome web浏览器中报告沙箱逃逸利用链,则可获得三倍于标准赏金的奖励。谷歌此举旨在鼓励安全研究员找到并报告可被攻击者用于攻陷 Chrome 浏览器安全机制的漏洞,从而助力增强软件弹性。三倍赏金仅适用于在这半年期间首个提交起作用的完整攻击链的猎洞人员。谷歌解释称,“完整链利用必须...
CTF python沙箱逃逸进阶题目
weixin_30432579的博客
01-12 654
future引用了python3的新特性,所以是不能直接回回显,得用print file函数可以读取。 print(().__class__.__bases__[0].__subclasses__()[40]('./sx2.py').read()) 读取源码后: from __future__ import print_function banned = [ "import", ...
38|浏览器原理(二):浏览器进程通信与网络渲染详解
sucaiwa的博客
03-05 1318
你好,我是LMOS。通过前面的学习,你应该对浏览器内的进程和线程已经有了一个大概的印象,也知道了为了避免一些问题,现代浏览器采用了多进程架构。这节课,我们首先要说的是Chrome中的进程通信。这么多的进程,它们之间是如何进行IPC通信的呢?要知道,如果IPC通信设计得不合理,就会引发非常多的问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值