chrome盗取用户身份

前言

chrome在以debug模式运行时会加载用户原本的数据信息（包含用户的浏览记录、存储的身份认证等），同时会开放一个debug端口，debug端口提供了丰富的操作协议，基本可以完全控制浏览器行为。

攻击思路

• 在终端上使用命令行kill掉用户的浏览器全部进程

• 使用命令行启动新的浏览器进程，启动过程中添加参数“--remote-debugging-port=9222 --restore-last-session”（--remote-debugging-port指定调试端口，--restore-last-session恢复之前打开的网页）

• 使用debug端口可以对浏览器进行控制，在受害者视角看整个过程只是一次简单的浏览器崩溃

debug端口简单攻击利用介绍

debug端口基本可以控制浏览器的所有行为，debug端口协议文档如下
https://chromedevtools.github.io/devtools-protocol/

debug端口通过websocket协议进行通信

webSocketDebuggerUrl为websocket通信的url地址
最简单的利用直接通过debug端口倒出所有cookies信息
利用方法

echo '{"id":1,"method":"Network.getAllCookies","params":[]}' | ./websocat_mac -n1 -B 50000000 ws://127.0.0.1:9222/devtools/page/2A8A60BD892CE1E7DB62A292F8022406

websocat_mac是一个mac下进行websocket通信的工具，可以替换成任意其他工具、编写代码与debug端口进行websocket通讯。

其他攻击

• 控制浏览器内进行弹框认证，弹框来自可信网站，可信度高

• 在浏览器内进行可持续化控制

可以根据协议文档从浏览器中根据攻击需求获取信息、制定攻击策略

待深入研究

• chrome的debug模式虽然可以达到控制浏览器的目的，但是需要重启用户的浏览器，对用户存在打扰

• chrome的headless模式会在后台运行，对用户完全无打扰，但headless模式下不会主动加载用户已有数据、配置等信息，需要进一步研究如何在headless模式下加载用户的原有信息。

• chrome可以指定加载数据的路径，需要研究是否可行。

   红客突击队于2019年由队长k龙牵头，联合国内多位顶尖高校研究生成立。团队从成立至今多次参加国际网络安全竞赛并取得良好成绩，积累了丰富的竞赛经验。红客突击队始终秉承先做人后技术的宗旨，旨在打造国际顶尖网络安全团队。其核心团队于2022年转型于信息安全研究院，并为政企提供安全服务与技术支持。

Zhonglong Technology | Honker Security Commando | HSCSEC
One of No. 1 Fuhou Street, Yuanfeng Township, Shiqi District, Zhongshan City (26 cards on the fifth floor)