Node inspector/CEF debug abuse
Grundlegende Informationen
Aus den Dokumenten: Wenn mit dem --inspect
-Schalter gestartet, lauscht ein Node.js-Prozess auf einen Debugging-Client. Standardmäßig wird er am Host und Port 127.0.0.1:9229
lauschen. Jeder Prozess erhält auch eine eindeutige UUID.
Inspektor-Clients müssen Hostadresse, Port und UUID kennen und angeben, um eine Verbindung herzustellen. Eine vollständige URL wird etwas wie ws://127.0.0.1:9229/0f2c936f-b1cd-4ac9-aab3-f63b0f33d55e
aussehen.
Da der Debugger vollen Zugriff auf die Node.js-Ausführungsumgebung hat, kann ein bösartiger Akteur, der eine Verbindung zu diesem Port herstellen kann, möglicherweise beliebigen Code im Namen des Node.js-Prozesses ausführen (potenzielle Privilegieneskalation).
Es gibt mehrere Möglichkeiten, einen Inspektor zu starten:
Wenn Sie einen überwachten Prozess starten, wird etwas Ähnliches wie dies angezeigt:
Prozesse basierend auf CEF (Chromium Embedded Framework) müssen den Parameter verwenden: --remote-debugging-port=9222
, um den Debugger zu öffnen (die SSRF-Schutzmaßnahmen bleiben sehr ähnlich). Stattdessen wird anstelle einer NodeJS Debug-Sitzung mit dem Browser über das Chrome DevTools Protocol kommuniziert. Dies ist eine Schnittstelle zur Steuerung des Browsers, aber es gibt keine direkte RCE.
Wenn Sie einen debuggten Browser starten, wird etwas Ähnliches wie dies angezeigt:
Browser, WebSockets und die Same-Origin-Richtlinie
Websites, die in einem Webbrowser geöffnet sind, können WebSocket- und HTTP-Anfragen gemäß dem Browser-Sicherheitsmodell stellen. Eine initiale HTTP-Verbindung ist erforderlich, um eine eindeutige Debugger-Sitzungs-ID zu erhalten. Die Same-Origin-Richtlinie verhindert, dass Websites in der Lage sind, diese HTTP-Verbindung herzustellen. Zur zusätzlichen Sicherheit gegen DNS-Rebinding-Angriffe, überprüft Node.js, dass die 'Host'-Header für die Verbindung entweder eine IP-Adresse oder localhost
oder localhost6
genau angeben.
Diese Sicherheitsmaßnahmen verhindern die Ausnutzung des Inspektors, um Code auszuführen, indem einfach eine HTTP-Anfrage gesendet wird (was durch Ausnutzen einer SSRF-Schwachstelle möglich wäre).
Starten des Inspektors in laufenden Prozessen
Sie können das Signal SIGUSR1 an einen laufenden Node.js-Prozess senden, um ihn dazu zu bringen, den Inspektor am Standardport zu starten. Beachten Sie jedoch, dass Sie ausreichende Berechtigungen benötigen, sodass dies Ihnen möglicherweise privilegierten Zugriff auf Informationen innerhalb des Prozesses gewährt, jedoch keine direkte Privilegieneskalation.
Dies ist in Containern nützlich, da das Herunterfahren des Prozesses und das Starten eines neuen mit --inspect
keine Option ist, da der Container mit dem Prozess beendet wird.
Verbindung zum Inspector/Debugger herstellen
Um eine Verbindung zu einem Chromium-basierten Browser herzustellen, können die URLs chrome://inspect
oder edge://inspect
für Chrome bzw. Edge aufgerufen werden. Durch Klicken auf die Schaltfläche "Konfigurieren" sollte sichergestellt werden, dass der Zielhost und -port korrekt aufgeführt sind. Das Bild zeigt ein Beispiel für eine Remote Code Execution (RCE):
Mit dem Befehlszeilenbefehl können Sie eine Verbindung zu einem Debugger/Inspector herstellen:
Das Tool https://github.com/taviso/cefdebug ermöglicht es, Inspectors zu finden, die lokal ausgeführt werden, und Code in sie einzuspritzen.
Beachten Sie, dass NodeJS RCE-Exploits nicht funktionieren, wenn sie über das Chrome DevTools Protocol mit einem Browser verbunden sind (Sie müssen die API überprüfen, um interessante Dinge damit zu tun).
RCE in NodeJS Debugger/Inspector
Wenn Sie hierher gekommen sind, um herauszufinden, wie Sie RCE aus einem XSS in Electron erhalten, überprüfen Sie bitte diese Seite.
Einige gängige Möglichkeiten, um RCE zu erhalten, wenn Sie sich mit einem Node Inspector verbinden, sind beispielsweise (es scheint, dass dies nicht funktioniert, wenn Sie mit dem Chrome DevTools-Protokoll verbunden sind):
Chrome DevTools Protocol Payloads
Sie können die API hier überprüfen: https://chromedevtools.github.io/devtools-protocol/ In diesem Abschnitt werde ich nur interessante Dinge auflisten, die ich gefunden habe, die von Leuten genutzt wurden, um dieses Protokoll auszunutzen.
Parameterinjektion über Deep Links
Im CVE-2021-38112 entdeckte Rhino Security, dass eine Anwendung, die auf CEF basiert, eine benutzerdefinierte URI im System registriert hat (workspaces://), die die vollständige URI empfing und dann die CEF-basierte Anwendung mit einer Konfiguration startete, die teilweise aus dieser URI erstellt wurde.
Es wurde festgestellt, dass die URI-Parameter URL-dekodiert und verwendet wurden, um die CEF-Basisanwendung zu starten, was einem Benutzer ermöglichte, die Flagge --gpu-launcher
in der Befehlszeile einzufügen und beliebige Dinge auszuführen.
Also, ein Payload wie:
Dateien überschreiben
Ändern Sie den Ordner, in dem heruntergeladene Dateien gespeichert werden sollen, und laden Sie eine Datei herunter, um den häufig verwendeten Quellcode der Anwendung mit Ihrem bösartigen Code zu überschreiben.
Webdriver RCE und Exfiltration
Gemäß diesem Beitrag: https://medium.com/@knownsec404team/counter-webdriver-from-bot-to-rce-b5bfb309d148 ist es möglich, RCE zu erlangen und interne Seiten von theriver zu exfiltrieren.
Post-Exploitation
In einer realen Umgebung und nach Kompromittierung eines Benutzer-PCs, der einen Chrome/Chromium-basierten Browser verwendet, könnten Sie einen Chrome-Prozess mit aktiviertem Debugging starten und den Debugging-Port weiterleiten, um darauf zuzugreifen. Auf diese Weise können Sie alles inspizieren, was das Opfer mit Chrome macht, und sensible Informationen stehlen.
Der unauffällige Weg besteht darin, jeden Chrome-Prozess zu beenden und dann etwas Ähnliches aufzurufen.
Referenzen
Last updated