浏览器漏洞利用尝试
方案一:Firefox浏览器利用
1.CVE-2019-11707
-
能够在关闭沙箱的条件下实现RCE
-
可复现,有PoC
-
网址https://vigneshsrao.github.io/posts/writeup/
2.CVE-2019-11708
-
结合CVE-2019-9810可实现沙箱逃逸
-
通过CVE-2019-9810获取JS特权,通过消息管理IPC,启用Prompt:Open由子进程给父进程发送消息,在非沙箱父进程中打开任意网页,利用流程如下:
- 需要编译特定版本Firefox,如下:
- 有PoC,未尝试是否能浮现
- 网址:https://hub.fastgit.org/0vercl0k/CVE-2019-11708
3.CVE-2019-17026
-
https://github.com/forrest-orr/DoubleStar/tree/main/CVE-2019-17026
-
POC:https://github.com/maxpl0it/CVE-2019-17026-Exploit,不能绕沙箱,但提出可以结合CVE-2020-0674沙箱逃逸实现full chain
4.CVE-2016-9079
5.CVE-2016-9079/CVE-2016-2819/CVE-2016-1980
- ASM.JS JIT-Spray的full chain利用
- firefox < 50.0.1的都可以,三个漏洞都可用,exploit-db上有poc,github上也有,可以通过sc2asmjs的github找到
- https://github.com/rh0dev/shellcode2asmjs,将metasploit shellcode转化为ASM.JS JIT payload,填入下面的位置,并加上0xa8,最后一行加上0xa8909090,js如下:
相应的metasploit shellcode如下:
- xulbase
virtual address 01c1f000 chunk size 1624 (0x658) number of fixups 808
406 834
44.02 -> 0x1c1f834
方案二:Chrome浏览器利用
1.CVE-2021-30563
- 最新曝出的Chrome V8引擎类型混淆漏洞,RCE
- 据传能够结合沙箱逃逸漏洞full chain exploit,未找到曝光PoC
2.特殊配置的利用
有PoC,可复现,但需关闭沙箱
2.1 Chrome0Day
2021年4月RCE,网址:https://github.com/r4j0x00/exploits/tree/master/chrome-0day
2.2 CNVD-2021-27989
2.3 CVE-2020-6507
未分析,网址https://github.com/r4j0x00/exploits
2.4 CVE-2020-16040
- 已测试,不开沙箱可任意代码执行
- 网址https://github.com/r4j0x00/exploits
2.4 CVE-2021-3156_one_shot
- 非网页攻击,c文件
- ubuntu
2.5 CVE-2019-5782
-
chrome渲染器进程漏洞,可用于沙箱逃逸
-
running the browser with flag
--enable-blink-features=MojoJS
-
渲染器进程和浏览器进程之间的通信使用的是开源 IPC 库Mojo IPC
-
待测试
3.full chain exploit
3.1CVE-2019-5786 & CVE-2019-0808
-
full chain exploit
-
Windows 7 x86 exploit 复现版本:https://hub.fastgit.org/exodusintel/CVE-2019-0808
-
CVE-2019-5786是Chrome FileReader UAF漏洞,网址https://paper.seebug.org/1257/
-
CVE-2019-0808是windows内核权限提升漏洞,可以实现沙箱逃逸,编译为dll运行,github上是将其封装到了shellcode中,不知道如何回连,分析网址https://paper.seebug.org/1351/#_2
-
windows7 64位版本:https://www.cnblogs.com/DreamoneOnly/p/12906959.html#64位利用,是0808的windows内核提权单独演示,PoC:https://github.com/ze0r/cve-2019-0808-poc
3.2CVE-2021-21224 & CVE-2021-31955
-
CVE-2021-21224,V8类型混淆漏洞,RCE,PoChttps://hub.fastgit.org/avboy1337/1195777-chrome0day
-
CVE-2021-31955是 ntoskrnl.exe 文件中的 Windows 内核信息泄露漏洞,可用于沙箱逃逸,PoChttps://hub.fastgit.org/mavillon1/CVE-2021-31955-POC,演示exe程序可以内核提权
-
据传二者结合可以在野利用,http://www.chinaaet.com/article/3000133905
3.3CVE-2019-5782_CVE-2019-13768
- PoC网址https://hub.fastgit.org/ZwCreatePhoton/CVE-2019-5782_CVE-2019-13768
- CVE-2019-13768发生在mojsjs绑定的FileWriter接口
- 经测试,可绕过沙箱弹计算器,但是只有Chrome 71.0.3578.98版本能成功
5.沙箱逃逸漏洞
5.1 cve-2020-0041
-
Android Chrome沙箱逃逸漏洞
-
分析https://labs.bluefrostsecurity.de/blog/2020/03/31/cve-2020-0041-part-1-sandbox-escape/
-
PoChttps://hub.fastgit.org/bluefrostsecurity/CVE-2020-0041/tree/master/sandbox
5.2 CVE-2020-6573
- 没找到介绍
5.3 chrome-sandbox-exploit
- 14年的,chrome35,可实现任意代码执行
- PoChttps://github.com/649/Chrome-Sandbox-Exploit/blob/master/html/index.html
- 单版本的bughttps://bugs.chromium.org/p/chromium/issues/detail?id=386988
5.4 汇总
https://hub.fastgit.org/allpaca/chrome-sbx-db
5.5 默认用非沙箱的应用程序汇总
https://hub.fastgit.org/sickcodes/no-sandbox
6 其他
1.https://hub.fastgit.org/exodusintel
2.https://bugs.chromium.org/p/chromium/issues/detail?id=1062091
- 需要将chrome.dl的基地址加入pwn.html
3.https://bugs.chromium.org/p/chromium/issues/detail?id=835887
- 貌似可以
- 影响版本
-
测试报错
this version is not supported. Please attach WinDBG to the renderer process and type
需要特殊配置
4.https://github.com/dock0d1/Exploit-Google-Chrome-86.0.4240_V8_RCE
5.https://bugs.chromium.org/p/chromium/issues/detail?id=888926
- 说可以绕SBX和RCE,比较复杂,没看出来shellcode放哪里
下一步
复现firefox
看cve-2019-7582多版本
复现CVE-2021-21224 & CVE-2021-31955
v8能不能用
可用
IE
Chrome: CVE-2019-5782_CVE-2019-13768
Firefox ASMJIT
firefox:
TOR-0day https://github.com/649/TOR-0day 找不到放shellcode的地方,kernel32.dll virtualalloc, 多版本41-50
CVE-2015-0816 https://github.com/Afudadi/Firefox-35-37-Exploit 找不到放shellcode的地方, 一堆列表,35-37
CVE-2016-9079 就一个版本,有shellcode
cve-2018-12386 SBX & RCE漏洞,只有关沙箱版本的PoC
chrome:
exploit-db-42078 不能绕沙箱 特定版本chrome
cve-2016-9651 secmob/pwnfest2016 可以绕沙箱,可以改shellcode,chrome<55.0.2883.75 测试不成功,爆破一直fail
https://github.com/vngkv123/aSiagaming/blob/master/Chrome-v8-906043/exploit.js 要开启优化选项--allow-natives-syntax
再试试 cve-2016-7582
谷歌full chain的两个