Node inspector/CEF debug abuse
Grundinformationen
Aus den Dokumenten: Wenn mit dem --inspect
-Schalter gestartet, hört ein Node.js-Prozess auf einen Debugging-Client. Standardmäßig hört es auf Host und Port 127.0.0.1:9229
. Jeder Prozess wird auch mit einer einzigartigen UUID zugewiesen.
Inspector-Clients müssen die Hostadresse, den Port und die UUID kennen und angeben, um eine Verbindung herzustellen. Eine vollständige URL sieht etwa so aus: ws://127.0.0.1:9229/0f2c936f-b1cd-4ac9-aab3-f63b0f33d55e
.
Da der Debugger vollen Zugriff auf die Node.js-Ausführungsumgebung hat, kann ein böswilliger Akteur, der in der Lage ist, eine Verbindung zu diesem Port herzustellen, möglicherweise beliebigen Code im Namen des Node.js-Prozesses ausführen (potenzielle Privilegieneskalation).
Es gibt mehrere Möglichkeiten, einen Inspector zu starten:
Wenn Sie einen inspizierten Prozess starten, wird etwas wie dies erscheinen:
Prozesse, die auf CEF (Chromium Embedded Framework) basieren, müssen den Parameter --remote-debugging-port=9222
verwenden, um den Debugger zu öffnen (die SSRF-Schutzmaßnahmen bleiben sehr ähnlich). Sie stattdessen von der Gewährung einer NodeJS Debug-Sitzung kommunizieren mit dem Browser über das Chrome DevTools Protocol, dies ist eine Schnittstelle zur Steuerung des Browsers, aber es gibt kein direktes RCE.
Wenn Sie einen debugged Browser starten, wird etwas wie dies erscheinen:
Browsers, WebSockets und Same-Origin-Policy
Websites, die in einem Webbrowser geöffnet sind, können WebSocket- und HTTP-Anfragen gemäß dem Sicherheitsmodell des Browsers stellen. Eine initiale HTTP-Verbindung ist notwendig, um eine einzigartige Debugger-Sitzungs-ID zu erhalten. Die Same-Origin-Policy verhindert, dass Websites diese HTTP-Verbindung herstellen können. Zur zusätzlichen Sicherheit gegen DNS-Rebinding-Angriffe, überprüft Node.js, dass die 'Host'-Header für die Verbindung entweder eine IP-Adresse oder localhost
oder localhost6
genau angeben.
Diese Sicherheitsmaßnahmen verhindern das Ausnutzen des Inspektors, um Code auszuführen, indem einfach eine HTTP-Anfrage gesendet wird (was durch das Ausnutzen einer SSRF-Schwachstelle geschehen könnte).
Inspektor in laufenden Prozessen starten
Sie können das Signal SIGUSR1 an einen laufenden Node.js-Prozess senden, um den Inspektor am Standardport zu starten. Beachten Sie jedoch, dass Sie über ausreichende Berechtigungen verfügen müssen, sodass dies Ihnen privilegierten Zugriff auf Informationen innerhalb des Prozesses gewähren kann, jedoch keine direkte Privilegieneskalation darstellt.
Dies ist nützlich in Containern, da das Herunterfahren des Prozesses und das Starten eines neuen mit --inspect
keine Option ist, da der Container mit dem Prozess getötet wird.
Mit dem Inspector/Debugger verbinden
Um sich mit einem Chromium-basierten Browser zu verbinden, können die URLs chrome://inspect
oder edge://inspect
für Chrome bzw. Edge aufgerufen werden. Durch Klicken auf die Schaltfläche Konfigurieren sollte sichergestellt werden, dass der Zielhost und der Port korrekt aufgeführt sind. Das Bild zeigt ein Beispiel für Remote Code Execution (RCE):
Mit der Befehlszeile können Sie sich mit einem Debugger/Inspector verbinden mit:
Das Tool https://github.com/taviso/cefdebug ermöglicht es, Inspektoren zu finden, die lokal ausgeführt werden, und Code in sie zu injizieren.
Beachten Sie, dass NodeJS RCE-Exploits nicht funktionieren, wenn Sie über Chrome DevTools Protocol mit einem Browser verbunden sind (Sie müssen die API überprüfen, um interessante Dinge damit zu tun).
RCE im NodeJS Debugger/Inspektor
Wenn Sie hierher gekommen sind, um zu erfahren, wie man RCE aus einem XSS in Electron erhält, überprüfen Sie bitte diese Seite.
Einige gängige Möglichkeiten, RCE zu erhalten, wenn Sie sich mit einem Node Inspektor verbinden können, sind die Verwendung von etwas wie (es scheint, dass dies bei einer Verbindung zum Chrome DevTools-Protokoll nicht funktionieren wird):
Chrome DevTools Protocol Payloads
You can check the API here: https://chromedevtools.github.io/devtools-protocol/ In this section I will just list interesting things I find people have used to exploit this protocol.
Parameter Injection via Deep Links
In the CVE-2021-38112 entdeckte Rhino Security, dass eine auf CEF basierende Anwendung eine benutzerdefinierte URI im System (workspaces://) registrierte, die die vollständige URI empfing und dann die auf CEF basierende Anwendung mit einer Konfiguration startete, die teilweise aus dieser URI konstruiert wurde.
Es wurde festgestellt, dass die URI-Parameter URL-dekodiert und verwendet wurden, um die CEF-Basisanwendung zu starten, was es einem Benutzer ermöglichte, das Flag --gpu-launcher
in der Befehlszeile zu injizieren und beliebige Dinge auszuführen.
So, a payload like:
Wird ein calc.exe ausführen.
Dateien überschreiben
Ändern Sie den Ordner, in dem heruntergeladene Dateien gespeichert werden, und laden Sie eine Datei herunter, um den Quellcode der Anwendung, der häufig verwendet wird, mit Ihrem bösartigen Code zu überschreiben.
Webdriver RCE und Exfiltration
Laut diesem Beitrag: https://medium.com/@knownsec404team/counter-webdriver-from-bot-to-rce-b5bfb309d148 ist es möglich, RCE zu erlangen und interne Seiten von theriver zu exfiltrieren.
Post-Exploitation
In einer realen Umgebung und nach der Kompromittierung eines Benutzer-PCs, der einen auf Chrome/Chromium basierenden Browser verwendet, könntest du einen Chrome-Prozess mit aktiviertem Debugging und Port-Forwarding des Debugging-Ports starten, um darauf zugreifen zu können. Auf diese Weise wirst du in der Lage sein, alles zu inspizieren, was das Opfer mit Chrome macht, und sensible Informationen zu stehlen.
Der stealthy Weg ist, jeden Chrome-Prozess zu beenden und dann etwas wie
Referenzen
Last updated