Node inspector/CEF debug abuse
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Z dokumentacji: Po uruchomieniu z przełącznikiem --inspect
, proces Node.js nasłuchuje na klienta debugowania. Domyślnie będzie nasłuchiwać na hoście i porcie 127.0.0.1:9229
. Każdemu procesowi przypisany jest również unikalny UUID.
Klienci inspektora muszą znać i określić adres hosta, port i UUID, aby się połączyć. Pełny adres URL będzie wyglądał mniej więcej tak: ws://127.0.0.1:9229/0f2c936f-b1cd-4ac9-aab3-f63b0f33d55e
.
Ponieważ debugger ma pełny dostęp do środowiska wykonawczego Node.js, złośliwy aktor, który może połączyć się z tym portem, może być w stanie wykonać dowolny kod w imieniu procesu Node.js (potencjalne podniesienie uprawnień).
Istnieje kilka sposobów na uruchomienie inspektora:
Kiedy uruchomisz proces inspekcji, coś takiego się pojawi:
Procesy oparte na CEF (Chromium Embedded Framework) muszą używać parametru: --remote-debugging-port=9222
, aby otworzyć debugger (ochrony SSRF pozostają bardzo podobne). Jednak zamiast przyznawania sesji debug NodeJS, będą komunikować się z przeglądarką za pomocą Chrome DevTools Protocol, jest to interfejs do kontrolowania przeglądarki, ale nie ma bezpośredniego RCE.
Kiedy uruchomisz przeglądarkę w trybie debugowania, pojawi się coś takiego:
Strony internetowe otwarte w przeglądarce mogą wysyłać żądania WebSocket i HTTP zgodnie z modelem bezpieczeństwa przeglądarki. Początkowe połączenie HTTP jest konieczne, aby uzyskać unikalny identyfikator sesji debuggera. Polityka same-origin zapobiega stronom internetowym w nawiązywaniu tego połączenia HTTP. Dla dodatkowego bezpieczeństwa przed atakami DNS rebinding, Node.js weryfikuje, że nagłówki 'Host' dla połączenia albo określają adres IP, albo localhost
, albo localhost6
dokładnie.
Te środki bezpieczeństwa zapobiegają wykorzystaniu inspektora do uruchamiania kodu poprzez wysłanie tylko żądania HTTP (co mogłoby być zrealizowane poprzez wykorzystanie luki SSRF).
Możesz wysłać sygnał SIGUSR1 do działającego procesu nodejs, aby uruchomić inspektora na domyślnym porcie. Należy jednak pamiętać, że musisz mieć wystarczające uprawnienia, więc może to dać ci uprzywilejowany dostęp do informacji wewnątrz procesu, ale nie bezpośrednią eskalację uprawnień.
To jest przydatne w kontenerach, ponieważ zamknięcie procesu i uruchomienie nowego z --inspect
nie jest opcją, ponieważ kontener zostanie zabity wraz z procesem.
Aby połączyć się z przeglądarką opartą na Chromium, można uzyskać dostęp do adresów URL chrome://inspect
lub edge://inspect
dla Chrome lub Edge, odpowiednio. Klikając przycisk Konfiguruj, należy upewnić się, że docelowy host i port są poprawnie wymienione. Obrazek pokazuje przykład zdalnego wykonania kodu (RCE):
Używając wiersza poleceń, możesz połączyć się z debuggerem/inspektorem za pomocą:
Narzędzie https://github.com/taviso/cefdebug pozwala na znalezienie inspektorów działających lokalnie i wstrzyknięcie kodu do nich.
Zauważ, że eksploity RCE NodeJS nie będą działać, jeśli są połączone z przeglądarką za pomocą Chrome DevTools Protocol (musisz sprawdzić API, aby znaleźć interesujące rzeczy do zrobienia z tym).
Jeśli przyszedłeś tutaj, szukając jak uzyskać RCE z XSS w Electron, sprawdź tę stronę.
Niektóre powszechne sposoby uzyskania RCE, gdy możesz połączyć się z inspektorem Node, to użycie czegoś takiego (wygląda na to, że to nie zadziała w połączeniu z protokołem Chrome DevTools):
Możesz sprawdzić API tutaj: https://chromedevtools.github.io/devtools-protocol/ W tej sekcji po prostu wymienię interesujące rzeczy, które znalazłem, a które ludzie wykorzystali do eksploatacji tego protokołu.
W CVE-2021-38112 firma Rhino Security odkryła, że aplikacja oparta na CEF zarejestrowała niestandardowy URI w systemie (workspaces://), który odbierał pełny URI, a następnie uruchamiał aplikację opartą na CEF z konfiguracją, która była częściowo konstruowana z tego URI.
Odkryto, że parametry URI były dekodowane URL i używane do uruchamiania podstawowej aplikacji CEF, co pozwalało użytkownikowi wstrzykiwać flagę --gpu-launcher
w linii poleceń i wykonywać dowolne rzeczy.
Więc, ładunek taki jak:
Wykona calc.exe.
Zmień folder, w którym pobrane pliki będą zapisywane i pobierz plik, aby nadpisać często używany kod źródłowy aplikacji swoim złośliwym kodem.
Zgodnie z tym postem: https://medium.com/@knownsec404team/counter-webdriver-from-bot-to-rce-b5bfb309d148 możliwe jest uzyskanie RCE i eksfiltracja wewnętrznych stron z theriver.
W rzeczywistym środowisku i po skompromitowaniu komputera użytkownika, który używa przeglądarki opartej na Chrome/Chromium, możesz uruchomić proces Chrome z włączonym debugowaniem i przekierować port debugowania, aby uzyskać do niego dostęp. W ten sposób będziesz mógł inspekcjonować wszystko, co ofiara robi w Chrome i kraść wrażliwe informacje.
Sposobem na zachowanie dyskrecji jest zakończenie każdego procesu Chrome i następnie wywołanie czegoś takiego jak
Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)