浏览器漏洞利用尝试

标签：尝试 github 浏览器 漏洞 2019 https 沙箱 org CVE

方案一：Firefox浏览器利用

1.CVE-2019-11707

• 能够在关闭沙箱的条件下实现RCE

• 可复现，有PoC

• 网址https://vigneshsrao.github.io/posts/writeup/

2.CVE-2019-11708

• 结合CVE-2019-9810可实现沙箱逃逸

• 通过CVE-2019-9810获取JS特权，通过消息管理IPC，启用Prompt:Open由子进程给父进程发送消息，在非沙箱父进程中打开任意网页，利用流程如下：

• 需要编译特定版本Firefox，如下：

• 有PoC，未尝试是否能浮现
• 网址：https://hub.fastgit.org/0vercl0k/CVE-2019-11708

3.CVE-2019-17026

• https://github.com/forrest-orr/DoubleStar/tree/main/CVE-2019-17026

• POC：https://github.com/maxpl0it/CVE-2019-17026-Exploit，不能绕沙箱，但提出可以结合CVE-2020-0674沙箱逃逸实现full chain

4.CVE-2016-9079

• full chain
• https://github.com/maxpl0it/CVE-2019-17026-Exploit

5.CVE-2016-9079/CVE-2016-2819/CVE-2016-1980

• ASM.JS JIT-Spray的full chain利用
• firefox < 50.0.1的都可以，三个漏洞都可用，exploit-db上有poc，github上也有，可以通过sc2asmjs的github找到
• https://github.com/rh0dev/shellcode2asmjs，将metasploit shellcode转化为ASM.JS JIT payload，填入下面的位置，并加上0xa8，最后一行加上0xa8909090，js如下：

​ 相应的metasploit shellcode如下：

• xulbase

virtual address 01c1f000 chunk size 1624 (0x658) number of fixups 808

406 834

44.02 -> 0x1c1f834

方案二：Chrome浏览器利用

1.CVE-2021-30563

• 最新曝出的Chrome V8引擎类型混淆漏洞，RCE
• 据传能够结合沙箱逃逸漏洞full chain exploit，未找到曝光PoC

2.特殊配置的利用

有PoC，可复现，但需关闭沙箱

2.1 Chrome0Day

2021年4月RCE，网址：https://github.com/r4j0x00/exploits/tree/master/chrome-0day

2.2 CNVD-2021-27989

2.3 CVE-2020-6507

未分析，网址https://github.com/r4j0x00/exploits

2.4 CVE-2020-16040

• 已测试，不开沙箱可任意代码执行
• 网址https://github.com/r4j0x00/exploits

2.4 CVE-2021-3156_one_shot

• 非网页攻击，c文件
• ubuntu

2.5 CVE-2019-5782

• chrome渲染器进程漏洞，可用于沙箱逃逸

• running the browser with flag --enable-blink-features=MojoJS

• 渲染器进程和浏览器进程之间的通信使用的是开源 IPC 库Mojo IPC

• https://blog.adamjordan.id/posts/006-chrome-sandbox-bypass/

• 待测试

3.full chain exploit

3.1CVE-2019-5786 & CVE-2019-0808

• full chain exploit

• Windows 7 x86 exploit 复现版本：https://hub.fastgit.org/exodusintel/CVE-2019-0808

• CVE-2019-5786是Chrome FileReader UAF漏洞，网址https://paper.seebug.org/1257/

• CVE-2019-0808是windows内核权限提升漏洞，可以实现沙箱逃逸，编译为dll运行，github上是将其封装到了shellcode中，不知道如何回连，分析网址https://paper.seebug.org/1351/#_2

• windows7 64位版本：https://www.cnblogs.com/DreamoneOnly/p/12906959.html#64位利用，是0808的windows内核提权单独演示，PoC:https://github.com/ze0r/cve-2019-0808-poc

3.2CVE-2021-21224 & CVE-2021-31955

• CVE-2021-21224，V8类型混淆漏洞，RCE，PoChttps://hub.fastgit.org/avboy1337/1195777-chrome0day

• CVE-2021-31955是 ntoskrnl.exe 文件中的 Windows 内核信息泄露漏洞,可用于沙箱逃逸，PoChttps://hub.fastgit.org/mavillon1/CVE-2021-31955-POC，演示exe程序可以内核提权

• 据传二者结合可以在野利用，http://www.chinaaet.com/article/3000133905

3.3CVE-2019-5782_CVE-2019-13768

• PoC网址https://hub.fastgit.org/ZwCreatePhoton/CVE-2019-5782_CVE-2019-13768
• CVE-2019-13768发生在mojsjs绑定的FileWriter接口
• 经测试，可绕过沙箱弹计算器，但是只有Chrome 71.0.3578.98版本能成功

5.沙箱逃逸漏洞

5.1 cve-2020-0041

• Android Chrome沙箱逃逸漏洞

• 分析https://labs.bluefrostsecurity.de/blog/2020/03/31/cve-2020-0041-part-1-sandbox-escape/

• PoChttps://hub.fastgit.org/bluefrostsecurity/CVE-2020-0041/tree/master/sandbox

5.2 CVE-2020-6573

• 没找到介绍

5.3 chrome-sandbox-exploit

• 14年的，chrome35，可实现任意代码执行
• PoChttps://github.com/649/Chrome-Sandbox-Exploit/blob/master/html/index.html
• 单版本的bughttps://bugs.chromium.org/p/chromium/issues/detail?id=386988

5.4 汇总

https://hub.fastgit.org/allpaca/chrome-sbx-db

5.5 默认用非沙箱的应用程序汇总

https://hub.fastgit.org/sickcodes/no-sandbox

6 其他

1.https://hub.fastgit.org/exodusintel

2.https://bugs.chromium.org/p/chromium/issues/detail?id=1062091

• 需要将chrome.dl的基地址加入pwn.html

3.https://bugs.chromium.org/p/chromium/issues/detail?id=835887

• 貌似可以
• 影响版本

• 测试报错

  this version is not supported. Please attach WinDBG to the renderer process and type

  需要特殊配置

4.https://github.com/dock0d1/Exploit-Google-Chrome-86.0.4240_V8_RCE

5.https://bugs.chromium.org/p/chromium/issues/detail?id=888926

• 说可以绕SBX和RCE，比较复杂，没看出来shellcode放哪里

下一步

复现firefox

看cve-2019-7582多版本

复现CVE-2021-21224 & CVE-2021-31955

v8能不能用

可用

IE

Chrome: CVE-2019-5782_CVE-2019-13768

Firefox ASMJIT

firefox:

TOR-0day https://github.com/649/TOR-0day 找不到放shellcode的地方，kernel32.dll virtualalloc, 多版本41-50

CVE-2015-0816 https://github.com/Afudadi/Firefox-35-37-Exploit 找不到放shellcode的地方， 一堆列表，35-37

CVE-2016-9079 就一个版本，有shellcode

cve-2018-12386 SBX & RCE漏洞，只有关沙箱版本的PoC

chrome:

exploit-db-42078 不能绕沙箱 特定版本chrome

cve-2016-9651 secmob/pwnfest2016 可以绕沙箱，可以改shellcode，chrome<55.0.2883.75 测试不成功,爆破一直fail

https://github.com/vngkv123/aSiagaming/blob/master/Chrome-v8-906043/exploit.js 要开启优化选项--allow-natives-syntax

再试试 cve-2016-7582

谷歌full chain的两个

标签：尝试,github,浏览器,漏洞,2019,https,沙箱,org,CVE
From： https://www.cnblogs.com/z5onk0/p/16755029.html