Electron contextIsolation RCE via preload code
Last updated
Last updated
Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Beispiel von https://speakerdeck.com/masatokinugawa/electron-abusing-the-lack-of-context-isolation-curecon-en?slide=30
Dieser Code öffnet http(s)-Links mit dem Standardbrowser:
Etwas wie file:///C:/Windows/systemd32/calc.exe
könnte verwendet werden, um einen Rechner auszuführen, das SAFE_PROTOCOLS.indexOf
verhindert dies.
Daher könnte ein Angreifer diesen JS-Code über XSS oder beliebige Seitenavigation injizieren:
Da der Aufruf von SAFE_PROTOCOLS.indexOf
immer 1337 zurückgibt, kann der Angreifer den Schutz umgehen und den Calc ausführen. Endgültiger Exploit:
Checken Sie die Originalfolien für andere Möglichkeiten, Programme auszuführen, ohne dass eine Eingabeaufforderung nach Berechtigungen fragt.
Offensichtlich ist eine andere Möglichkeit, Code zu laden und auszuführen, auf etwas wie file://127.0.0.1/electron/rce.jar
zuzugreifen.
Beispiel von https://mksben.l0.cm/2020/10/discord-desktop-rce.html?m=1
Beim Überprüfen der Preload-Skripte stellte ich fest, dass Discord die Funktion exponiert, die es ermöglicht, einige erlaubte Module über DiscordNative.nativeModules.requireModule('MODULE-NAME')
in die Webseite aufzurufen.
Hier konnte ich keine Module verwenden, die direkt für RCE verwendet werden können, wie das child_process Modul, aber ich fand einen Code, bei dem RCE erreicht werden kann, indem die eingebauten JavaScript-Methoden überschrieben werden und die Ausführung des exponierten Moduls gestört wird.
Das Folgende ist der PoC. Ich konnte bestätigen, dass die calc-Anwendung aufpoppt, wenn ich die getGPUDriverVersions
-Funktion aufrufe, die im Modul "discord_utils" aus den DevTools definiert ist, während ich RegExp.prototype.test
und Array.prototype.join
überschreibe.
Die getGPUDriverVersions
-Funktion versucht, das Programm mit der "execa"-Bibliothek auszuführen, wie folgt:
Normalerweise versucht execa, "nvidia-smi.exe" auszuführen, das in der nvidiaSmiPath
-Variablen angegeben ist. Aufgrund der überschriebenen RegExp.prototype.test
und Array.prototype.join
wird das Argument jedoch in der internen Verarbeitung von execa durch "calc" ersetzt.
Konkret wird das Argument durch die Änderung der folgenden zwei Teile ersetzt.
Lerne & übe AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lerne & übe GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)