CVE-2023-4357 Chrome任意文件读取 [漏洞复现]
CVE-2023-4357
Chrome任意文件读取
--->漏洞描述
由于未充分验证 XML 中不受信任的输入,远程攻击者可利用该漏洞通过构建的 HTML 页面绕过文件访问限制,导致chrome任意文件读取。
漏洞复现
--->
影响版本
Google Chrome < 116.0.5845.96
proxychains wget https://edgedl.me.gvt1.com/edgedl/chrome/chrome-for-testing/114.0.5735
下载chrome
wget https://github.com/xcanwin/CVE-2023-4357-Chrome-LFI/archive/refs/heads/main.zip -O CVE-2023-4357-Chrome-LFI.zip
unzip CVE-2023-4357-Chrome-LFI.zip
cd CVE-2023-4357-Chrome-LFI-main
python3 -m http.server 8888
启动web服务
启动chrome要注意,用普通权限起
浏览器当前版本114.0.5735.90
浏览器访问
http://127.0.0.1:8888/c.html
微信号 : Ra7ing
扫码关注
学习交流
posted on 2023-11-17 20:45 Ra7ing安全实验室 阅读(1399) 评论(0) 编辑 收藏 举报
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· 地球OL攻略 —— 某应届生求职总结
· 周边上新:园子的第一款马克杯温暖上架
· Open-Sora 2.0 重磅开源!
· 提示词工程——AI应用必不可少的技术
· .NET周刊【3月第1期 2025-03-02】