4ndr0666/FancyTracker

# 红队行动手册 FancyTracker 是由 [Frans Rosén](https://twitter.com/fransrosen) 开发的原版 [postMessage-tracker](https://github.com/fransr/postMessage-tracker) 浏览器扩展的 Manifest V3 兼容版本，用于监控网页中的 `postMessage` 监听器。 ## 1.0 威胁简报 Chimera 行动是针对一个成熟 Web 应用程序的持续红队行动。初步侦察已确认目标存在多层防御，包括强大的内容安全策略 (CSP)、客户端分析关联以及现代浏览器原生安全功能（`SameSite` cookies）。 蓝队已展示出检测和缓解简单客户端攻击的能力。因此，我们的行动姿态必须从直接操作升级为链式利用场景。 本手册详细说明了当前的情报摘要，并概述了在下一阶段行动中将要执行的主要攻击向量。所有操作人员必须熟悉这些协议。 ## 2.0 情报摘要 ### 2.1 目标基础设施 * **边缘层：** Cloudflare（提供 WAF、DDoS 缓解和缓存）。 * **负载均衡器：** AWS Application Load Balancer（由 `alb_` 头推断）。 * **后端：** ExpressJS（由 `x-powered-by` 头推断）。 * **认证：** Google Firebase（`securetoken.googleapis.com` endpoint）。会话管理通过 `_token` JWT cookie 处理。 * **分析：** 托管在 `data.hailuoai.video` 的专有“meerkat-reporter”服务，用于客户端事件关联。 ### 2.2 红队工具包 * **`HailuoKit` (Userscript v9.4.0-RT)：** 用于在传输过程中修改 API 请求的主要工具。用于参数篡改攻击，可规避客户端参数验证和服务器端分析关联。 * **`FancyTracker` (Extension v1.2.0)：** 用于 `postMessage` 监听器被动侦察和主动利用的主要工具。提供跨源和同源消息传递的完全可见性。 * **`ufw.sh` (加固工具)：** 通过强制执行系统级 VPN 终止开关和网络加固来确保操作人员的 OPSEC。 ### 2.3 观察到的防御与对策 1. **服务器端验证：** 修改 `FormData` 负载的初步尝试导致 `400 Bad Request` 错误，确认后端会验证传入请求的结构。（已在 HailuoKit v9.3.0 中绕过）。 2. **分析关联：** 后端将主要 API 调用与带外分析事件相关联，以检测客户端篡改。（已在 HailuoKit v9.4.0 中绕过）。 3. **内容安全策略 (CSP)：** 强大的 CSP 通过 HTTP 头交付，防止内联脚本执行并限制资源加载。 4. **`SameSite` Cookies：** 主要的 `_token` 会话 cookie 几乎肯定设置为 `SameSite=Lax` 或 `SameSite=Strict`，挫败了来自外部域的传统跨站请求伪造攻击。**这是需要克服的主要障碍。** ## 3.0 攻击向量与协议 ### 3.1 向量 1：客户端参数篡改 * **原则：** 应用程序对客户端提供的参数信任度过高。 * **协议：** 1. 部署 `HailuoKit` 用户脚本。 2. 在控制面板中启用“Force Max Images”。 3. 发起任意数量（例如 4 张）的图像生成请求。 4. 脚本将拦截并修改 API 调用和相应的分析事件，将 `imageNum` 更改为 `9`。 * **预期结果：** 成功生成 9 张图像，绕过服务器端控制。**状态：被认为处于活跃状态 (ACTIVE)。** ### 3.2 向量 2：`postMessage` 诱导的 CSRF（主要目标） * **原则：** `SameSite` cookie 防御仅对来自*不同*站点的请求有效。如果我们能在 `hailuoai.video` 上找到一个 `postMessage` 监听器，并诱使其代表我们发起请求，那么该请求将源自受信任的域，浏览器**将**附带会话 cookie。 * **协议：** 此协议结合了侦察（`FancyTracker`）与利用。 **阶段 A：漏洞识别（FancyTracker 侦察）** 1. 部署 `FancyTracker` 扩展。在此阶段禁用“Global Kill Switch”。 2. 系统地浏览目标应用程序的每一个功能。特别注意涉及第三方集成、弹出窗口或 iframe 的功能（例如 Google 登录、支持小部件、嵌入式媒体）。 3. 检查 `FancyTracker` 日志。寻找符合以下标准的监听器： * **弱源验证：** 它要么没有 `event.origin` 检查，要么是通配符（`*`）检查，要么是可以被绕过的有缺陷的正则表达式。 * **可执行的负载：** 它接收 `event.data` 并执行操作，例如进行 API 调用、设置 iframe 的 `src` 或更新 DOM。 **阶段 B：负载构建与执行** 1. 一旦识别出易受攻击的监听器，构建一个概念验证 HTML 页面（`pm_csrf_poc.html`）。 2. 此页面将包含 JavaScript，该脚本在弹出窗口/iframe 中打开目标站点，并使用 `postMessage` 向易受攻击的监听器发送恶意负载。 3. **黄金负载：** 通过 `postMessage` 发送的数据必须经过精心设计，以使监听器为我们执行 CSRF 攻击。示例： // Inside pm_csrf_poc.html const targetWindow = window.open('https://hailuoai.video/create/image-generation'); // Wait for the window to load setTimeout(() => { // This payload assumes we found a listener that takes a URL and fetches it. const maliciousPayload = { action: 'fetchAPI', url: 'https://hailuoai.video/v1/api/multimodal/generate/image', method: 'POST', body: { // The listener must be able to handle this structure desc: "CSRF via postMessage", imageNum: 4, modelId: "357494498567225344", // ... etc } }; // Send the message to the vulnerable window targetWindow.postMessage(maliciousPayload, '*'); // Or the vulnerable origin }, 5000); // Adjust delay as needed * **预期结果：** `hailuoai.video` 上易受攻击的监听器接收我们的消息并执行 `fetch` 请求。因为请求源自目标自己的域，所以会附带 `SameSite` cookie，从而生成图像。**状态：未确认，高优先级。** ## 4.0 行动安全 (OPSEC) * 所有行动活动必须在获批的 VPN 后进行，并激活 `ufw.sh` 终止开关。 * User-Agent 字符串应定期轮换，以模拟常见的浏览器配置文件。 * 应在主要测试阶段之间清除浏览器状态（缓存、cookies、本地存储），以避免会话交叉污染。 ## 5.0 行动路线图 1. **确认向量 1：** 执行 HailuoKit“Force Max Images”协议，以确认我们的客户端绕过仍然有效。 2. **执行向量 2（阶段 A）：** 部署 `FancyTracker` 并对 `postMessage` 监听器进行全站侦察。 3. **分析与报告：** 分析 `FancyTracker` 日志以查找候选漏洞。 4. **执行向量 2（阶段 B）：** 如果发现候选目标，构建并启动 `postMessage` 到 CSRF 的链式利用。 5. **报告发现：** 记录所有协议的成功或失败，以供战略审查。 ### 自定义 Syntax Highlighting Element Type,Hex Code,Visual Profile,Usage in 4NDR0666OS Keywords,#FF00FF,Neon Magenta,"Logic triggers (if, return), Hook definitions" Strings,#66FE86,Electric Lime,"Captured URLs, CDN Paths, Mod-Signals" Comments,#808080,Battleship Gray,"Forensic notes, TTP explanations" Numbers/IDs,#1F51FF,Neon Blue,"Task IDs, Epoch timestamps, Hop counts" Functions,#00FFFF,Cyber Cyan,"Hijacked APIs (addEventListener, postMessage)" Background,#080808,Abyssal Black,Default UI Surface for all operator dashboards

标签：Chrome 扩展开发, Cloudflare WAF, CSP 绕过, FancyTracker, Firebase, JWT 安全, Manifest V3, postMessage 监控, Red Team Toolkit, Web 安全, XSS 利用, 事件监听劫持, 会话劫持, 内容安全策略, 前端渗透, 密码管理, 攻击面分析, 数据可视化, 社工工具, 自定义脚本, 自定义脚本, 规则仓库, 足迹探测