* ¿Trabajas en una **empresa de ciberseguridad**? ¿Quieres ver tu **empresa anunciada en HackTricks**? ¿O quieres tener acceso a la **última versión de PEASS o descargar HackTricks en PDF**? ¡Consulta los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)!
* Descubre [**The PEASS Family**](https://opensea.io/collection/the-peass-family), nuestra colección exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Obtén el [**swag oficial de PEASS y HackTricks**](https://peass.creator-spring.com)
* **Únete al** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo de Discord**](https://discord.gg/hRep4RUj7f) o al [**grupo de telegram**](https://t.me/peass) o **sígueme** en **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Comparte tus trucos de hacking enviando PR al** [**repositorio de hacktricks**](https://github.com/carlospolop/hacktricks) **y al** [**repositorio de hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
Electron está **basado en Chromium**, pero no es un navegador. Ciertos principios y mecanismos de seguridad implementados por los navegadores modernos no están presentes.\
Podrías ver a Electron como una aplicación local de backend+frontend donde **NodeJS** es el **backend** y **Chromium** es el **frontend**.
Por lo general, es posible encontrar el código de la aplicación de electron dentro de una aplicación `.asar`, para obtener el código es necesario extraerlo:
En el código fuente de una aplicación de Electron, dentro de `packet.json`, se puede encontrar especificado el archivo `main.js` donde se establecen las configuraciones de seguridad.
La configuración del **proceso de renderizado** se puede **configurar** en el **proceso principal** dentro del archivo main.js. Algunas de las configuraciones **evitarán que la aplicación Electron obtenga RCE** u otras vulnerabilidades si las **configuraciones se configuran correctamente**.
La aplicación de escritorio podría tener acceso al dispositivo del usuario a través de las API de Node. Las siguientes dos configuraciones son responsables de proporcionar mecanismos para **evitar que el JavaScript de la aplicación tenga acceso directo al dispositivo del usuario** y a los comandos del nivel del sistema.
* **`nodeIntegration`** - está desactivado de forma predeterminada. Si está activado, permite acceder a las funciones de Node desde el proceso de renderizado.
* **`contextIsolation`** - está activado de forma predeterminada. Si está activado, los procesos principal y de renderizado no están aislados.
* **`preload`** - vacío de forma predeterminada.
* [**`sandbox`**](https://docs.w3cub.com/electron/api/sandbox-option) - está desactivado de forma predeterminada. Restringirá las acciones que NodeJS puede realizar.
* Integración de Node en trabajadores
* **`nodeIntegrationInSubframes`** - está desactivado de forma predeterminada.
* Si **`nodeIntegration`** está **habilitado**, esto permitiría el uso de **APIs de Node.js** en páginas web que se cargan en iframes dentro de una aplicación Electron.
* Si **`nodeIntegration`** está **deshabilitado**, entonces los preloads se cargarán en el iframe.
Si se establece **nodeIntegration** en **on**, el JavaScript de una página web puede usar fácilmente las características de Node.js simplemente llamando a `require()`. Por ejemplo, la forma de ejecutar la aplicación calc en Windows es:
El _**contextIsolation**_ introduce **contextos separados entre los scripts de la página web y el código interno de JavaScript de Electron** para que la ejecución de JavaScript de cada código no afecte a cada uno. Esta es una característica necesaria para eliminar la posibilidad de RCE.
Si se aplican restricciones cuando se hace clic en un enlace, es posible que se pueda evitarlas **haciendo clic en el botón central** en lugar de hacer clic izquierdo regular.
Si la aplicación de escritorio de Electron se implementa con la configuración adecuada de `nodeIntegration` y `contextIsolation`, simplemente significa que **no se puede lograr una RCE del lado del cliente apuntando a scripts de precarga o código nativo de Electron desde el proceso principal**.
La aplicación de escritorio **anula estos oyentes** para implementar la **lógica de negocio** propia de la aplicación de escritorio. Durante la creación de nuevas ventanas, la aplicación verifica si el enlace navegado debe abrirse en una ventana o pestaña de la aplicación de escritorio, o si debe abrirse en el navegador web. En nuestro ejemplo, la verificación se implementa con la función `openInternally`, si devuelve `false`, la aplicación asumirá que el enlace debe abrirse en el navegador web utilizando la función `shell.openExternal`.
De acuerdo con las mejores prácticas de seguridad de Electron JS, la función `openExternal`**no debe aceptar contenido no confiable****porque eso podría llevar a RCE abusando de diferentes protocolos** si la aplicación no limita la navegación de los usuarios a través de protocolos como https:// o http://.
Diferentes sistemas operativos admiten diferentes protocolos que podrían desencadenar RCE, para obtener más información sobre ellos, consulte [https://positive.security/blog/url-open-rce](https://positive.security/blog/url-open-rce#windows-10-19042) pero aquí tiene algunos ejemplos de Windows:
Para obtener más información sobre estos ejemplos, consulte [https://shabarkin.medium.com/1-click-rce-in-electron-applications-79b52e1fe8b8](https://shabarkin.medium.com/1-click-rce-in-electron-applications-79b52e1fe8b8) y [https://benjamin-altpeter.de/shell-openexternal-dangers/](https://benjamin-altpeter.de/shell-openexternal-dangers/)
Si `contextIsolation` se establece en falso, puede intentar usar \<webview> (similar a \<iframe> pero puede cargar archivos locales) para leer archivos locales y extraerlos: usando algo como **\<webview src=”file:///etc/passwd”>\</webview>:**
Otra forma de **leer un archivo interno** se encuentra en este [**writeup**](https://bugcrowd.com/disclosures/f7ce8504-0152-483b-bbf3-fb9b759f9f89/critical-local-file-read-in-electron-desktop-app):
Si la aplicación utiliza **chromium** antiguo y hay **vulnerabilidades conocidas** en él, podría ser posible **explotarlo y obtener RCE a través de un XSS**.\
Puedes ver un ejemplo en este **writeup**: [https://blog.electrovolt.io/posts/discord-rce/](https://blog.electrovolt.io/posts/discord-rce/)
Suponiendo que encontraste un XSS pero **no puedes activar RCE o robar archivos internos**, podrías intentar usarlo para **robar credenciales a través de phishing**.
La llamada a **`openInternally`** decidirá si el **enlace** se abrirá en la **ventana del escritorio** ya que es un enlace perteneciente a la plataforma, **o** si se abrirá en el **navegador como un recurso de terceros**.
En caso de que el **regex** utilizado por la función sea **vulnerable a bypasses** (por ejemplo, **no escapando los puntos de los subdominios**), un atacante podría abusar del XSS para **abrir una nueva ventana que** se ubicará en la infraestructura del atacante **solicitando credenciales** al usuario:
* [**Electronegativity**](https://github.com/doyensec/electronegativity) es una herramienta para identificar configuraciones incorrectas y patrones de seguridad en aplicaciones basadas en Electron.
* [**Electrolint**](https://github.com/ksdmitrieva/electrolint) es un plugin de código abierto para VS Code para aplicaciones de Electron que utiliza Electronegativity.
* [**nodejsscan**](https://github.com/ajinabraham/nodejsscan) para comprobar bibliotecas de terceros vulnerables.
* [**Electro.ng**](https://electro.ng/): Hay que comprarla.
En [https://www.youtube.com/watch?v=xILfQGkLXQo\&t=22s](https://www.youtube.com/watch?v=xILfQGkLXQo\&t=22s) puedes encontrar un laboratorio para explotar aplicaciones de Electron vulnerables.
* Más investigaciones y artículos sobre la seguridad de Electron en [https://github.com/doyensec/awesome-electronjs-hacking](https://github.com/doyensec/awesome-electronjs-hacking)
* ¿Trabajas en una **empresa de ciberseguridad**? ¿Quieres ver tu **empresa anunciada en HackTricks**? ¿O quieres tener acceso a la **última versión de PEASS o descargar HackTricks en PDF**? ¡Consulta los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)!
* Descubre [**The PEASS Family**](https://opensea.io/collection/the-peass-family), nuestra colección exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Obtén el [**swag oficial de PEASS y HackTricks**](https://peass.creator-spring.com)
* **Únete al** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo de Discord**](https://discord.gg/hRep4RUj7f) o al [**grupo de telegram**](https://t.me/peass) o **sígueme** en **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Comparte tus trucos de hacking enviando PR al** [**repositorio de hacktricks**](https://github.com/carlospolop/hacktricks) **y al** [**repositorio de hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
