浏览器漏洞利用尝试

方案一:Firefox浏览器利用

1.CVE-2019-11707

  • 能够在关闭沙箱的条件下实现RCE

  • 可复现,有PoC

  • 网址https://vigneshsrao.github.io/posts/writeup/

2.CVE-2019-11708

  • 结合CVE-2019-9810可实现沙箱逃逸

  • 通过CVE-2019-9810获取JS特权,通过消息管理IPC,启用Prompt:Open由子进程给父进程发送消息,在非沙箱父进程中打开任意网页,利用流程如下:

image-20210725185537298

  • 需要编译特定版本Firefox,如下:

image-20210725185620628

3.CVE-2019-17026

4.CVE-2016-9079

5.CVE-2016-9079/CVE-2016-2819/CVE-2016-1980

  • ASM.JS JIT-Spray的full chain利用
  • firefox < 50.0.1的都可以,三个漏洞都可用,exploit-db上有poc,github上也有,可以通过sc2asmjs的github找到
  • https://github.com/rh0dev/shellcode2asmjs,将metasploit shellcode转化为ASM.JS JIT payload,填入下面的位置,并加上0xa8,最后一行加上0xa8909090,js如下:

image-20210729055000231

​ 相应的metasploit shellcode如下:

image-20210729055255157

  • xulbase

virtual address 01c1f000 chunk size 1624 (0x658) number of fixups 808

406 834

44.02 -> 0x1c1f834

方案二:Chrome浏览器利用

1.CVE-2021-30563

  • 最新曝出的Chrome V8引擎类型混淆漏洞,RCE
  • 据传能够结合沙箱逃逸漏洞full chain exploit,未找到曝光PoC

2.特殊配置的利用

有PoC,可复现,但需关闭沙箱

2.1 Chrome0Day

2021年4月RCE,网址:https://github.com/r4j0x00/exploits/tree/master/chrome-0day

2.2 CNVD-2021-27989

2.3 CVE-2020-6507

未分析,网址https://github.com/r4j0x00/exploits

2.4 CVE-2020-16040

  • 已测试,不开沙箱可任意代码执行
  • 网址https://github.com/r4j0x00/exploits

2.4 CVE-2021-3156_one_shot

  • 非网页攻击,c文件
  • ubuntu

2.5 CVE-2019-5782

3.full chain exploit

3.1CVE-2019-5786 & CVE-2019-0808

3.2CVE-2021-21224 & CVE-2021-31955

  • CVE-2021-21224,V8类型混淆漏洞,RCE,PoChttps://hub.fastgit.org/avboy1337/1195777-chrome0day

  • CVE-2021-31955是 ntoskrnl.exe 文件中的 Windows 内核信息泄露漏洞,可用于沙箱逃逸,PoChttps://hub.fastgit.org/mavillon1/CVE-2021-31955-POC,演示exe程序可以内核提权

  • 据传二者结合可以在野利用,http://www.chinaaet.com/article/3000133905

3.3CVE-2019-5782_CVE-2019-13768

  • PoC网址https://hub.fastgit.org/ZwCreatePhoton/CVE-2019-5782_CVE-2019-13768
  • CVE-2019-13768发生在mojsjs绑定的FileWriter接口
  • 经测试,可绕过沙箱弹计算器,但是只有Chrome 71.0.3578.98版本能成功

5.沙箱逃逸漏洞

5.1 cve-2020-0041

  • Android Chrome沙箱逃逸漏洞

  • 分析https://labs.bluefrostsecurity.de/blog/2020/03/31/cve-2020-0041-part-1-sandbox-escape/

  • PoChttps://hub.fastgit.org/bluefrostsecurity/CVE-2020-0041/tree/master/sandbox

5.2 CVE-2020-6573

  • 没找到介绍

5.3 chrome-sandbox-exploit

  • 14年的,chrome35,可实现任意代码执行
  • PoChttps://github.com/649/Chrome-Sandbox-Exploit/blob/master/html/index.html
  • 单版本的bughttps://bugs.chromium.org/p/chromium/issues/detail?id=386988

5.4 汇总

https://hub.fastgit.org/allpaca/chrome-sbx-db

5.5 默认用非沙箱的应用程序汇总

https://hub.fastgit.org/sickcodes/no-sandbox

6 其他

1.https://hub.fastgit.org/exodusintel

2.https://bugs.chromium.org/p/chromium/issues/detail?id=1062091

  • 需要将chrome.dl的基地址加入pwn.html

3.https://bugs.chromium.org/p/chromium/issues/detail?id=835887

  • 貌似可以
  • 影响版本

image-20210728185158445

  • 测试报错

    this version is not supported. Please attach WinDBG to the renderer process and type

    需要特殊配置

4.https://github.com/dock0d1/Exploit-Google-Chrome-86.0.4240_V8_RCE

5.https://bugs.chromium.org/p/chromium/issues/detail?id=888926

  • 说可以绕SBX和RCE,比较复杂,没看出来shellcode放哪里

下一步

复现firefox

看cve-2019-7582多版本

复现CVE-2021-21224 & CVE-2021-31955

v8能不能用

可用

IE

Chrome: CVE-2019-5782_CVE-2019-13768

Firefox ASMJIT

firefox:

TOR-0day https://github.com/649/TOR-0day 找不到放shellcode的地方,kernel32.dll virtualalloc, 多版本41-50

CVE-2015-0816 https://github.com/Afudadi/Firefox-35-37-Exploit 找不到放shellcode的地方, 一堆列表,35-37

CVE-2016-9079 就一个版本,有shellcode

cve-2018-12386 SBX & RCE漏洞,只有关沙箱版本的PoC

chrome:

exploit-db-42078 不能绕沙箱 特定版本chrome

cve-2016-9651 secmob/pwnfest2016 可以绕沙箱,可以改shellcode,chrome<55.0.2883.75 测试不成功,爆破一直fail

https://github.com/vngkv123/aSiagaming/blob/master/Chrome-v8-906043/exploit.js 要开启优化选项--allow-natives-syntax

再试试 cve-2016-7582

谷歌full chain的两个

posted @ 2022-10-05 08:31  z5onk0  阅读(528)  评论(0编辑  收藏  举报