## XSS para RCE em Aplicativos Desktop Electron
☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥
* Você trabalha em uma **empresa de segurança cibernética**? Você quer ver sua **empresa anunciada no HackTricks**? ou quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e para o** [**repositório hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
Example Payloads (Linux & MacOS):
```
### Capturar tráfego
Modifique a configuração start-main e adicione o uso de um proxy como:
```javascript
"start-main": "electron ./dist/main/main.js --proxy-server=127.0.0.1:8080 --ignore-certificateerrors",
```
## RCE: XSS + nodeIntegration
Se o **nodeIntegration** estiver definido como **on**, o JavaScript de uma página da web pode usar facilmente recursos do Node.js apenas chamando o `require()`. Por exemplo, a maneira de executar o aplicativo calc no Windows é:
```html
```
Welcome to my Electron app.
``` {% endcode %} Este é um exemplo de um arquivo `index.html` básico para um aplicativo de desktop Electron. Ele contém um cabeçalho com a codificação de caracteres, um título e um link para um arquivo de estilo externo. O corpo contém um título e um parágrafo de boas-vindas, bem como um script que é carregado a partir de um arquivo `renderer.js`. ```html ``` {% endcode %} {% hint style="info" %} **Se `contextIsolation` estiver ativado, isso não funcionará** {% endhint %} ## RCE: XSS + contextIsolation O _**contextIsolation**_ introduz os **contextos separados entre os scripts da página da web e o código interno do JavaScript do Electron** para que a execução do JavaScript de cada código não afete um ao outro. Essa é uma característica necessária para eliminar a possibilidade de RCE. Se os contextos não estiverem isolados, um invasor pode: 1. Executar **JavaScript arbitrário no renderizador** (XSS ou navegação para sites externos) 2. **Sobrescrever o método embutido** que é usado no código de pré-carregamento ou no código interno do Electron para a própria função 3. **Disparar** o uso da **função sobrescrita** 4. RCE? Existem 2 lugares onde os métodos embutidos podem ser sobrescritos: no código de pré-carregamento ou no código interno do Electron: {% content-ref url="electron-contextisolation-rce-via-preload-code.md" %} [electron-contextisolation-rce-via-preload-code.md](electron-contextisolation-rce-via-preload-code.md) {% endcontent-ref %} {% content-ref url="electron-contextisolation-rce-via-electron-internal-code.md" %} [electron-contextisolation-rce-via-electron-internal-code.md](electron-contextisolation-rce-via-electron-internal-code.md) {% endcontent-ref %} {% content-ref url="electron-contextisolation-rce-via-ipc.md" %} [electron-contextisolation-rce-via-ipc.md](electron-contextisolation-rce-via-ipc.md) {% endcontent-ref %} ### Bypass do evento de clique Se houver restrições aplicadas quando você clica em um link, você pode ser capaz de contorná-las **fazendo um clique do meio** em vez de um clique esquerdo regular. ```javascript window.addEventListener('click', (e) => { ``` ## RCE via shell.openExternal Se o aplicativo de desktop Electron for implantado com as configurações adequadas de `nodeIntegration` e `contextIsolation`, isso simplesmente significa que **a execução remota de código do lado do cliente, visando scripts de pré-carregamento ou código nativo do Electron do processo principal, não pode ser alcançada**. Cada vez que um usuário clica no link ou abre uma nova janela, os seguintes ouvintes de eventos são invocados: {% code overflow="wrap" %} ```javascript webContents.on("new-window", function (event, url, disposition, options) {} webContents.on("will-navigate", function (event, url) {} ``` {% endcode %} A aplicação desktop **substitui esses ouvintes** para implementar a própria **lógica de negócios** da aplicação desktop. Durante a criação de novas janelas, a aplicação verifica se o link navegado deve ser aberto em uma janela ou guia da aplicação desktop, ou se deve ser aberto no navegador da web. Em nosso exemplo, a verificação é implementada com a função `openInternally`, se ela retornar `false`, a aplicação assumirá que o link deve ser aberto no navegador da web usando a função `shell.openExternal`. **Aqui está um pseudocódigo simplificado:** ![](<../../../.gitbook/assets/image (638) (2) (1) (1).png>) ![](<../../../.gitbook/assets/image (620).png>) De acordo com as melhores práticas de segurança do Electron JS, a função `openExternal` **não deve aceitar conteúdo não confiável** **porque isso pode levar a RCE abusando de diferentes protocolos** se a aplicação não limitar a navegação dos usuários por meio de protocolos como https:// ou http://. Diferentes sistemas operacionais suportam diferentes protocolos que podem desencadear RCE, para mais informações sobre eles, verifique [https://positive.security/blog/url-open-rce](https://positive.security/blog/url-open-rce#windows-10-19042), mas aqui estão alguns exemplos do Windows: ```html ``` Para mais informações sobre esses exemplos, consulte [https://shabarkin.medium.com/1-click-rce-in-electron-applications-79b52e1fe8b8](https://shabarkin.medium.com/1-click-rce-in-electron-applications-79b52e1fe8b8) e [https://benjamin-altpeter.de/shell-openexternal-dangers/](https://benjamin-altpeter.de/shell-openexternal-dangers/) ## Ler arquivos internos: XSS + contextIsolation Se `contextIsolation` estiver definido como falso, você pode tentar usar \