chrome盗取用户身份
前言
chrome在以debug模式运行时会加载用户原本的数据信息(包含用户的浏览记录、存储的身份认证等),同时会开放一个debug端口,debug端口提供了丰富的操作协议,基本可以完全控制浏览器行为。
攻击思路
- 在终端上使用命令行kill掉用户的浏览器全部进程
- 使用命令行启动新的浏览器进程,启动过程中添加参数“
--remote-debugging-port=9222 --restore-last-session”(--remote-debugging-port指定调试端口,--restore-last-session恢复之前打开的网页) - 使用debug端口可以对浏览器进行控制,在受害者视角看整个过程只是一次简单的浏览器崩溃
debug端口简单攻击利用介绍
debug端口基本可以控制浏览器的所有行为,debug端口协议文档如下
https://chromedevtools.github.io/devtools-protocol/
debug端口通过websocket协议进行通信
webSocketDebuggerUrl为websocket通信的url地址
最简单的利用直接通过debug端口倒出所有cookies信息
利用方法
echo '{"id":1,"method":"Network.getAllCookies","params":[]}' | ./websocat_mac -n1 -B 50000000 ws://127.0.0.1:9222/devtools/page/2A8A60BD892CE1E7DB62A292F8022406
websocat_mac是一个mac下进行websocket通信的工具,可以替换成任意其他工具、编写代码与debug端口进行websocket通讯。
其他攻击
- 控制浏览器内进行弹框认证,弹框来自可信网站,可信度高
- 在浏览器内进行可持续化控制
可以根据协议文档从浏览器中根据攻击需求获取信息、制定攻击策略
待深入研究
- chrome的debug模式虽然可以达到控制浏览器的目的,但是需要重启用户的浏览器,对用户存在打扰
- chrome的headless模式会在后台运行,对用户完全无打扰,但headless模式下不会主动加载用户已有数据、配置等信息,需要进一步研究如何在headless模式下加载用户的原有信息。
- chrome可以指定加载数据的路径,需要研究是否可行。