×

【附POC】我用浏览器入侵了自己的电脑,结果惊呆所有人!

hqy hqy 发表于2025-07-16 23:25:02 浏览31 评论0

抢沙发发表评论

【附POC】我用浏览器入侵了自己的电脑,结果惊呆所有人!

越来越依赖浏览器来访问云端服务,却往往忽略它也可能成为绕过网络边界、攻陷内网资产的突破口。本文将带你深入剖析如何将 Orange Tsai 复活的 PHP-CGI 漏洞 CVE-2024-4577 与 DNS 重绑定(DNS Rebinding)相结合,从而在用户毫无察觉的情况下,通过浏览器直接对本地 XAMPP 等开发环境发起远程代码执行(RCE)攻击。本文还将为你提供切实可行的防御建议,帮助你守护内网安全。




图片

背景回顾

图片

CVE-2024-4577 —— “死而复生”的 PHP‑CGI 漏洞
早在 2012 年,PHP-CGI 模式中出现了 CVE-2012-1823 漏洞,攻击者可通过在 URL 中追加以连字符 (-) 开头的参数,实现命令行参数注入。虽然 PHP 官方已通过屏蔽以 - 开头的参数修复此漏洞,但 2024 年 Orange Tsai 利用 Windows 在 Unicode 与 ANSI 编码页间“最佳匹配”(Best-Fit Mapping)的特性,令补丁失效:


  • 在东亚地区常用的 ANSI 编码页(简体/繁体中文、日语)中,软连字符(U+00AD)会被映射为常规连字符 -
  • 攻击者只需构造 ?%ADs,即可被 Windows 转换成 ?-s,绕过参数过滤,实现命令行执行。



图片

DNS 重绑定:突破同源策略的利器

图片
浏览器为防止“脚本钓鱼”而实施同源策略(SOP),然而 DNS 重绑定攻击能够让攻击者控制域名解析,将同一域名先解析至外部主机,再迅速切换至 127.0.0.1 或内网地址,使浏览器误以为对本地服务发起的请求仍属于同源,遂放行跨域访问。

原理演示:攻击者注册如 abcd.duckdns.org,首次将其指向攻击服务器,页面加载后再通过 DuckDNS API 更新 A 记录指向 127.0.0.1
浏览器在缓存 TTL(通常仅 2 秒)失效后,继续对该域名发起请求,却已重绑定至本地服务,从而绕过 SOP。

图片

实战演示:从浏览器到本地 XAMPP 的攻击链

图片

准备阶段
在 DuckDNS 上申请动态域名 yourdomain.duckdns.org,并配置 API 令牌;
搭建简单的网页 PoC,载入一段 JS 脚本,脚本加载完成后立即调用 DuckDNS API 更新域名指向本地。
同源策略破防
恶意 JS 检查 TTL 到期后,通过 fetch() 携带 mode: 'no-cors' 向本地常用 IP 段(如 192.168.0.0/2410.0.0.0/24)发送探测请求,快速定位存活的内网主机;
PHP RCE 利用
对探测到的 XAMPP 服务器,构造带 %ADs 的 URL,如:


http://yourdomain.duckdns.org/info.php?%ADs
当域名重绑定至本地后,PHP-CGI 会将 %ADs 转为 -s,进而执行攻击者注入的命令,实现远程代码执行。 



图片

防御与缓解

图片
升级与替代


  • 升级 PHP:使用最新 PHP 版本(7.4+)并移除 CGI 模式;
  • 替代 PHP-CGI:优先采用 PHP-FPM 或托管平台,避免直接暴露 CGI 接口。


主机名与请求校验


  • 在 Web 应用层 严格校验 Host 头,拒绝非白名单来源的请求;
  • 开启 HTTPS 并强制 HSTS,阻断中间人操控 DNS 响应。


网络与浏览器防护
在边界防火墙或 WAF 处 过滤 DNS 重绑定请求,可通过检测极短 TTL 或异常域名实现;


  • 关闭或限制 内部服务对本地回环地址(127.0.0.1)的访问;
  • 及时 更新浏览器,并部署浏览器安全扩展(如 NoScript、Polaris)。



图片

结语

图片

图片

图片

本次攻击链充分说明了“无处不在”的浏览器威胁:它不仅是用户访问互联网的工具,也可能成为攻击者入侵内网的利器。面对日益复杂的攻击手法,我们不仅要在代码和配置层面筑牢防线,更要在网络与浏览器安全方面多管齐下,形成“全方位立体防护”。

图片

完整 PoC 代码及演示请暗号: PHP-CGI-INTERNAL-RCE

本文原创,图片为官方测试图,真假自辨。



优惠福利


GOADV3 20250709版本,靶场主要针对AD域的靶场训练,总共5台虚拟机3台域控机器。点击全文即可跳转

  • 访问:需要登录平台VPN后,采用socks5进行访问内部域

  • S5地址:10.35.71.14

  • S5端口:1080

  • IP段:192.168.56.0/24

可能学习的技术包括(根据官方提供的):

  • Password reuse between computers (PTH)
  • Spray User = Password
  • Password in description
  • SMB share anonymous
  • SMB not signed
  • Responder
  • Zerologon
  • Windows defender
  • ASREPRoast
  • Kerberoasting
  • AD Acl abuse (forcechangepassword, genericall, genericwrite,…)
  • Unconstraint delegation
  • Ntlm relay
  • Constrained delegation
  • MSSQL exec
  • MSSQL trusted link
  • MSSQL impersonate
  • IIS service to Upload malicious asp
  • Multiples forest
  • Anonymous RPC user listing
  • Child parent domain escalation
  • Certificate and ldaps avaiable
  • ADCS - ESC 1/2/3/8
  • Certifry
  • Samaccountname/nopac
  • Petitpotam unauthent
  • Printerbug
  • Drop the mic
  • Shadow credentials
  • Printnightmare
  • Krbrelayup




打赏

本文链接:https://kinber.cn/post/5315.html 转载需授权!

分享到:


推荐本站淘宝优惠价购买喜欢的宝贝:

image.png

 您阅读本篇文章共花了: 

群贤毕至

访客