modified	Thursday 1 May 2025

Edited: Thursday 1 May 2025

Friday, April 16, 2021 at 17:38

反制 Webdriver - 从 Bot 到 RCE 进发

LORexxar
LoRexxar「s Blog

4 月 12 号 ,@cursered 在 starlabs 上公开了一篇文章《You Talking To
Me3》 , 里面分享了关于 Webdriver 的一些机制以及安全问题 , 通过一
训成功实现了对 Webdriver 的 RCE, 我们就顺着文章的思路来

感谢蓝猫师傅 @cursered 在复现过程中的很多帮助 ~
什么是 Webdriver?

仪 TFS 河由 Selenium 主持。具体的协议标准可以

http://code.google.com/p/selen…
_Reference 查看。

通俗的讲 ,WebDriver 就是一个阉割版的浏览器 , 他提供了用于自动化
控制浏览器的协议和接口。

你可以通过 https://chromedriver.chromium.… 来下载
chrome 版本的 Webdriver, 其中 chrome 还提供了 headless 模式以供没有
桌面系统的服务器运行。

二般来说 ,Webdriver 应用于爬虫等需要大范围 Web 请求扫描的场景 ,
在安全领域 , 扫描器一般都需要通过 selenium 来控制 webdriver 完成前
置扫描。在 CTF 当中 , 我们也能常常见到通过控制 Webdriver 来访问
xSS 押战的 XSS Bot,
往宅全砂场 , 扫振砚一航郡需有 8 胡矾 S e
置扫描。在 CTF 当中 , 我们也能常常见到通过控制 Webdriver 来访问
XSS 挑战的 XSS Bot.

这里我借用一张原博的图来描述一下 Webdriver 是如何工作的。

E Eouueulsaut chrome

Run chromedriver Started on random port

Start a new session P0ST /session “Run Chrome –remote-debugging-port-8 Started on random port
Navigate to example.com PosT /session/tsessionidi/arl _Navigate to example.com CDP: Page.navigate Navigate to example.com
Execute script P0ST /session/tsessionidi/execute “Execute script CDP: Runtine.evaluate Execute script

Quit session 0ELETE /session/ tsessionid} Quit Chrome

Quit chromedriver 6ET /shutdow _Quit chromedriver

在整个流程当中 ,Selenium 端点通过向 Webdriver 端口相应的 seesion 接
口发送请求控制 webdriver, webdrivef 通过预定的谒试接口以及相应的
协议来和浏览器交互 ( 如 Chrome 通过 Chrome DevTools Protocol 来交

由于不同的浏览器厂商都定义了自己的 driver, 因此不同的浏览器和
driver 之间使用的协议可能会有所不同。比如 Chrome 就是用 Chrome

DevTools Protocol。

WebDriver Client WebDriver Server Browser

9515 chromedriver Chrome DevTools Protocol 9222 【euuts
型蝠 geckodriver Marionette Protocol E Firefox

Selenium WehDriver WebDriver Protocol 9515 MS We o 9772 MS Edoe
t
DevTools Protocol。

WebDriver Client WebDriver Server Browser |

Chrome DevTools Protocol 9222 【euut

Marionette Protocol 2828 Firefox
e2Drverprotocpl Chrome DevTools Protocol “ 月 MS Edge

Chrome DevTools Protocol E Opera

7855 Safaridriver XPC Service

当然 , 需要注意的是 , 这里提到的端口为启动 webdriver 时的默认端
园我们通过 selenium 操作的 Webdriver 将会启动在随机端
口上。

总之 , 在正常通过 Selenium 开启的 webdriver 的主机上 , 将会开放两个
端口 , 一个是提供 selenium 操作 webdriver 的 REST API 服务 , 一个则是

通过某种协议操作浏览器的服务端口。

这里我们用一个普通的 python3 脚本来启动一个 webdriver 来确认这个结
婆。

1
2
3
4
5

水 !/usr/bin/eny python
水 -*A- _coding:utE-8 *
import selenium

水 !/usr/bin/eny python

水 -*A- _coding:utE-8 *

import selenium

from Selenium import webdriver

from Selenium.webdriver .common.keys import Keys

from Selenium.common.exceptions import NebDriverException
import os

ao a 0 一山 N 巳

9 “chromedriver =“./chromedriver_win32.exe“

11 browser = webdriver.Chrome(executable_path=chromedriver)
12 ur1 =“https://Lorexxar .cn“「

13 browser.get(ur1)

14 水 browser.quit( )

在脚本执行后显示的日志中的端口为 CDP 端口

PS C:MUsers\Lorex\Desktop> python3 .\bottest .py

DevTooLs Listening on ws://127.8.8.1:13279/devtooLs/browser/82b7fTcc-4f39-49b2-~ae29-38fcaf4b7d86

通过查看进程其中命令可以确认 webdriver 的端口

番 chromedriver win32.exe:25352 Properties 5 口关
Threads TCP/IP Security Environment Job Strings
Image Performance Performance Graph GPU Graph
Image File

Version: “ n/a
Build Time: Wed J]an 27 10:42:15 2021

在了解了 Webdriver 基础之后 , 我们一起来探讨一些整个流程中到底有
什么样得安全隐患。
任意文件读 ?

如果对 Chrome DevTools Protocol 有一些简单的了解的话 , 不难发现他
本身提供了一些接口来允许你自动化的操作 webdriver。通过访
问 /jsonylist 可以获取到所有的浏览器实例接口。

@ 127.0.0.1:13279/jsonylist X 十

上 C “@ 127.0.0.1:13279/jsonylist

Chrome 正受到自动测试软件的控制 . 一、

[
“description : “
“devtoolsFzontendUrl“:“/devtools/inspector, html?ws=127. 0. 0. 1:13279/devtools/page/6FB0C4CBA43ECB834B44DB87317DC4B07,

“id : “6FB0C4CBA43ECB83AB44DB87317DC4B07,

“title“:“Inspectable pages“,

“type : “page ,

“url“: “http://127.0.0.1:13279/ jsony list“

“webSocketDebuggerUz1“: “ws://127.0. 0. 1:13279/devtools/page/6FB0C4CBA43ECB834B44DB87317DC4B0“

八

通过这里的 webSocketDebuggerUrl 得到相应的接口路径 , 然后我们可
以通过 websocket 来和这个接口进行交互实现 CDP 的所有功能。例如我
们可以通过 Page.navigate 访问相应的 url, 包括 file 协议

@ C\ 的索引 X 十
上 C “@ 文件 | Cy

Chrome 正受到自动测试软件的控制。

Backlinks