Chrome浏览器会话劫持技术详解

一、技术概述

Browser Pivoting（浏览器会话劫持）是一种通过劫持目标机器中已通过身份验证的浏览器会话来绕过身份验证的技术。本文介绍的技术专门针对Chrome浏览器，通过实时截获其配置文件来实现会话劫持。

二、技术背景与价值

1. 技术发展：该技术最早由Raphael Mudge在2013年提出，最初仅支持IE浏览器
2. 应用场景：主要用于绕过多因素身份验证(MFA)保护的系统
3. 防御意义：了解攻击技术有助于检验防御体系的有效性

三、技术原理

1. 核心思路

• 修改系统配置允许多个远程桌面连接
• 使用VSS(卷影复制服务)复制正在使用的Chrome配置文件
• 通过RemoteApp和proxychains远程打开指向复制配置文件的Chrome实例

2. 技术组件

• ThunderRApp：x64 DLL，修改系统允许多个RDP和RemoteApp会话
• ThunderVSS：x64 DLL，使用VSS复制被锁定的Chrome配置文件
• ThunderChrome.cna：用于控制DLL的攻击脚本

四、详细攻击步骤

1. 系统修改阶段

1. 修补windows\system32\termsrv.dll文件
   • 目的：绕过Windows Workstation OS的单会话限制
   • 风险：修改系统文件可能导致系统不稳定
2. 删除RemoteApp限制

2. 配置文件获取阶段

1. 使用VSS(卷影复制服务)创建系统快照
2. 从快照中复制正在使用的Chrome配置文件
   • 目标路径：C:\users\public\documents\thunderchrome\default\
   • 解决文件锁定问题

3. 会话劫持阶段

1. 通过RemoteApp建立连接
2. 使用-user-data-dir参数启动Chrome
   • 指向复制的配置文件路径
3. 使用proxychains进行流量转发
4. 通过C:\Windows\explorer.exe间接启动Chrome（解决RemoteApp限制）

五、防御检测指标

1. 系统修改行为：

   • termsrv.dll文件被修改
   • 注册表修改
   • 服务启动/停止

2. VSS相关活动：

   • VSS快照的创建和删除
   • 系统文件异常访问

3. 网络活动：

   • 远程桌面会话建立
   • 异常的网络连接

六、技术限制与风险

1. 技术要求：

   • 需要管理员权限执行系统修改
   • 仅适用于Windows系统

2. 实施风险：

   • 修改系统文件可能导致系统崩溃
   • 大量操作会留下明显的攻击痕迹
   • 需要较复杂的配置过程

3. 防御措施：

   • 监控系统关键文件修改
   • 检测异常的VSS活动
   • 限制远程桌面连接

七、实际应用示例

攻击场景：

• 攻击者已获取BLAN\Jack账号对BlanPC-0004的访问权限
• Jack使用浏览器访问管理域的vCenter服务器
• vCenter服务器使用硬件令牌MFA保护
• 传统凭据盗窃方法失效

攻击流程：

1. 监控Chrome标签页（寻找vSphere相关页面）
2. 等待目标在vCenter服务器完成身份验证
3. 通过VSS获取包含会话cookie的配置文件
4. 使用复制的配置文件建立新会话，绕过MFA验证

八、技术变体

1. 本地劫持方案：

   • 将配置文件复制到攻击者虚拟机
   • 本地通过proxychains和Chrome完成劫持
   • 优点：减少远程操作痕迹
   • 缺点：耗时较长

2. 标签页枚举：

   • 通过特定代码枚举Chrome打开的标签页
   • 用于识别有价值的会话目标

九、实施建议

1. 测试环境验证：

   • 先在测试环境验证所有组件
   • 确认termsrv.dll修改不会导致系统问题

2. 痕迹清理：

   • 操作完成后恢复原始termsrv.dll
   • 删除创建的VSS快照

3. 风险评估：

   • 评估目标系统对关键文件修改的监控强度
   • 权衡攻击收益与风险

十、总结

该技术通过组合系统修改、VSS服务和RemoteApp实现了对Chrome浏览器会话的劫持，特别适用于绕过MFA保护的场景。防御方可通过监控系统关键文件修改、VSS活动和异常远程会话来检测此类攻击。