chrome盗取用户身份

Posted 2023-01-24 思源湖的鱼

前言

chrome在以debug模式运行时会加载用户原本的数据信息（包含用户的浏览记录、存储的身份认证等），同时会开放一个debug端口，debug端口提供了丰富的操作协议，基本可以完全控制浏览器行为。

攻击思路

• 在终端上使用命令行kill掉用户的浏览器全部进程
• 使用命令行启动新的浏览器进程，启动过程中添加参数“--remote-debugging-port=9222 --restore-last-session”（--remote-debugging-port指定调试端口，--restore-last-session恢复之前打开的网页）
• 使用debug端口可以对浏览器进行控制，在受害者视角看整个过程只是一次简单的浏览器崩溃

debug端口简单攻击利用介绍

debug端口基本可以控制浏览器的所有行为，debug端口协议文档如下
https://chromedevtools.github.io/devtools-protocol/

debug端口通过websocket协议进行通信

webSocketDebuggerUrl为websocket通信的url地址
最简单的利用直接通过debug端口倒出所有cookies信息
利用方法

echo '"id":1,"method":"Network.getAllCookies","params":[]' | ./websocat_mac -n1 -B 50000000 ws://127.0.0.1:9222/devtools/page/2A8A60BD892CE1E7DB62A292F8022406

websocat_mac是一个mac下进行websocket通信的工具，可以替换成任意其他工具、编写代码与debug端口进行websocket通讯。

其他攻击

• 控制浏览器内进行弹框认证，弹框来自可信网站，可信度高
• 在浏览器内进行可持续化控制

可以根据协议文档从浏览器中根据攻击需求获取信息、制定攻击策略

待深入研究

• chrome的debug模式虽然可以达到控制浏览器的目的，但是需要重启用户的浏览器，对用户存在打扰
• chrome的headless模式会在后台运行，对用户完全无打扰，但headless模式下不会主动加载用户已有数据、配置等信息，需要进一步研究如何在headless模式下加载用户的原有信息。
• chrome可以指定加载数据的路径，需要研究是否可行。