首页 > 其他分享 >浏览器漏洞利用尝试

浏览器漏洞利用尝试

时间:2022-10-05 08:45:33浏览次数:78  
标签:尝试 github 浏览器 漏洞 2019 https 沙箱 org CVE

方案一:Firefox浏览器利用

1.CVE-2019-11707

  • 能够在关闭沙箱的条件下实现RCE

  • 可复现,有PoC

  • 网址https://vigneshsrao.github.io/posts/writeup/

2.CVE-2019-11708

  • 结合CVE-2019-9810可实现沙箱逃逸

  • 通过CVE-2019-9810获取JS特权,通过消息管理IPC,启用Prompt:Open由子进程给父进程发送消息,在非沙箱父进程中打开任意网页,利用流程如下:

image-20210725185537298

  • 需要编译特定版本Firefox,如下:

image-20210725185620628

3.CVE-2019-17026

4.CVE-2016-9079

5.CVE-2016-9079/CVE-2016-2819/CVE-2016-1980

  • ASM.JS JIT-Spray的full chain利用
  • firefox < 50.0.1的都可以,三个漏洞都可用,exploit-db上有poc,github上也有,可以通过sc2asmjs的github找到
  • https://github.com/rh0dev/shellcode2asmjs,将metasploit shellcode转化为ASM.JS JIT payload,填入下面的位置,并加上0xa8,最后一行加上0xa8909090,js如下:

image-20210729055000231

​ 相应的metasploit shellcode如下:

image-20210729055255157

  • xulbase

virtual address 01c1f000 chunk size 1624 (0x658) number of fixups 808

406 834

44.02 -> 0x1c1f834

方案二:Chrome浏览器利用

1.CVE-2021-30563

  • 最新曝出的Chrome V8引擎类型混淆漏洞,RCE
  • 据传能够结合沙箱逃逸漏洞full chain exploit,未找到曝光PoC

2.特殊配置的利用

有PoC,可复现,但需关闭沙箱

2.1 Chrome0Day

2021年4月RCE,网址:https://github.com/r4j0x00/exploits/tree/master/chrome-0day

2.2 CNVD-2021-27989

2.3 CVE-2020-6507

未分析,网址https://github.com/r4j0x00/exploits

2.4 CVE-2020-16040

  • 已测试,不开沙箱可任意代码执行
  • 网址https://github.com/r4j0x00/exploits

2.4 CVE-2021-3156_one_shot

  • 非网页攻击,c文件
  • ubuntu

2.5 CVE-2019-5782

3.full chain exploit

3.1CVE-2019-5786 & CVE-2019-0808

3.2CVE-2021-21224 & CVE-2021-31955

  • CVE-2021-21224,V8类型混淆漏洞,RCE,PoChttps://hub.fastgit.org/avboy1337/1195777-chrome0day

  • CVE-2021-31955是 ntoskrnl.exe 文件中的 Windows 内核信息泄露漏洞,可用于沙箱逃逸,PoChttps://hub.fastgit.org/mavillon1/CVE-2021-31955-POC,演示exe程序可以内核提权

  • 据传二者结合可以在野利用,http://www.chinaaet.com/article/3000133905

3.3CVE-2019-5782_CVE-2019-13768

  • PoC网址https://hub.fastgit.org/ZwCreatePhoton/CVE-2019-5782_CVE-2019-13768
  • CVE-2019-13768发生在mojsjs绑定的FileWriter接口
  • 经测试,可绕过沙箱弹计算器,但是只有Chrome 71.0.3578.98版本能成功

5.沙箱逃逸漏洞

5.1 cve-2020-0041

  • Android Chrome沙箱逃逸漏洞

  • 分析https://labs.bluefrostsecurity.de/blog/2020/03/31/cve-2020-0041-part-1-sandbox-escape/

  • PoChttps://hub.fastgit.org/bluefrostsecurity/CVE-2020-0041/tree/master/sandbox

5.2 CVE-2020-6573

  • 没找到介绍

5.3 chrome-sandbox-exploit

  • 14年的,chrome35,可实现任意代码执行
  • PoChttps://github.com/649/Chrome-Sandbox-Exploit/blob/master/html/index.html
  • 单版本的bughttps://bugs.chromium.org/p/chromium/issues/detail?id=386988

5.4 汇总

https://hub.fastgit.org/allpaca/chrome-sbx-db

5.5 默认用非沙箱的应用程序汇总

https://hub.fastgit.org/sickcodes/no-sandbox

6 其他

1.https://hub.fastgit.org/exodusintel

2.https://bugs.chromium.org/p/chromium/issues/detail?id=1062091

  • 需要将chrome.dl的基地址加入pwn.html

3.https://bugs.chromium.org/p/chromium/issues/detail?id=835887

  • 貌似可以
  • 影响版本

image-20210728185158445

  • 测试报错

    this version is not supported. Please attach WinDBG to the renderer process and type

    需要特殊配置

4.https://github.com/dock0d1/Exploit-Google-Chrome-86.0.4240_V8_RCE

5.https://bugs.chromium.org/p/chromium/issues/detail?id=888926

  • 说可以绕SBX和RCE,比较复杂,没看出来shellcode放哪里

下一步

复现firefox

看cve-2019-7582多版本

复现CVE-2021-21224 & CVE-2021-31955

v8能不能用

可用

IE

Chrome: CVE-2019-5782_CVE-2019-13768

Firefox ASMJIT

firefox:

TOR-0day https://github.com/649/TOR-0day 找不到放shellcode的地方,kernel32.dll virtualalloc, 多版本41-50

CVE-2015-0816 https://github.com/Afudadi/Firefox-35-37-Exploit 找不到放shellcode的地方, 一堆列表,35-37

CVE-2016-9079 就一个版本,有shellcode

cve-2018-12386 SBX & RCE漏洞,只有关沙箱版本的PoC

chrome:

exploit-db-42078 不能绕沙箱 特定版本chrome

cve-2016-9651 secmob/pwnfest2016 可以绕沙箱,可以改shellcode,chrome<55.0.2883.75 测试不成功,爆破一直fail

https://github.com/vngkv123/aSiagaming/blob/master/Chrome-v8-906043/exploit.js 要开启优化选项--allow-natives-syntax

再试试 cve-2016-7582

谷歌full chain的两个

标签:尝试,github,浏览器,漏洞,2019,https,沙箱,org,CVE
From: https://www.cnblogs.com/z5onk0/p/16755029.html

相关文章

  • 10/4 我的浏览器书签被篡改了
      改成了这样,然后一打开浏览器直接打开dy的网页我打开了火绒,感觉是否能找到点解决办法?我开启了联网控制,除了发现联想电脑管家总请求,也没发现啥昨天我下载了visuals......
  • ES文件浏览器局域网传输文件分析
    ​1.前言我之前从手机上传输到电脑上一些apk进行分析,都是使用es文件浏览器这款软件获取app,传输方面使用QQ,这样很麻烦,走外网流量暂且不提,总是感觉浪费掉了局域网这个环境。......
  • 常见问题汇总 --- Google Chrome浏览器翻译失败
    打开C:\Windows\System32\drivers\etc·目录下的hosts文件。添加下面两行203.208.40.66translate.google.com203.208.40.66translate.googleapis.com使用win+R键运行......
  • 谷歌翻译服务在中国大陆停止 谷歌浏览器无法将网页翻译成中文
      我们一般可能很少用到“translate.google.cn”这种机翻网站。在一些出海行业可能会经常用到谷歌翻译,毕竟机翻各种语言谷歌翻译要稍微出彩一些。山外有山,谷歌的业务......
  • CVE-2021- 22205漏洞复现
    一、漏洞概述2021年4⽉15⽇,GitLab官方发布安全补丁更新修复了GitLab命令执行漏洞(CVE-2021-22205)。由于GitLab中的ExifTool没有对传⼊的图像文件的扩展名进行正确处理,攻击......
  • 网络安全中常用浏览器插件、拓展
    引言现在的火狐、Edge( Chromium内核)、Chrome等浏览器带有插件、拓展(Plugin)的功能。这些插件中有的可以过滤广告,有的提供便捷的翻译,有的提供JavaScript脚本支持,方便用户的......
  • 解决谷歌Chrome浏览器内置翻译功能用不了的问题
    解决谷歌Chrome浏览器内置翻译功1.打开“我的电脑”,打开C:\Windows\System32\drivers\etc这个目录文件夹,或者复制这个文件目录路径粘贴到你的“我的电脑”地址栏中,按回车......
  • 谷歌浏览器安装vue-devtools插件
    1、访问github地址:https://github.com/vuejs/devtools下载安装包(zip)2、进入到解压后的devtools-add-remote-devtools包中,在文件夹路径中打开cmd窗口,执行npmi(如果慢的话可......
  • 搭建漏洞环境及实战——搭建SQL注入平台
    Sqli-lab是一款学习SQL注入的开源平台,共有75种不同类型的注入,复制源码然后将其粘贴到网站的目录中,进入MySQL管理中的PHPMyAdmin,打开http://127.0.0.1/phpMyAdmin/,创建名为......
  • 搭建漏洞环境及实战——在Linux系统中安装LANMP
    LANMP是Linux下Apache、Nginx、mysql和php的应用环境演示的是WDLinux命令:wgethttp://dl.wdlinux.cn/files/lamp_v3.tar.gz从ApacheZooKeeper上下载了ApacheZooKeepe......