Electron contextIsolation RCE via preload code
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Este código abre enlaces http(s) con el navegador predeterminado:
Algo como file:///C:/Windows/systemd32/calc.exe
podría usarse para ejecutar una calculadora, el SAFE_PROTOCOLS.indexOf
lo está previniendo.
Por lo tanto, un atacante podría inyectar este código JS a través de XSS o navegación arbitraria de páginas:
Como la llamada a SAFE_PROTOCOLS.indexOf
siempre devolverá 1337, el atacante puede eludir la protección y ejecutar el calc. Exploit final:
Revisa las diapositivas originales para otras formas de ejecutar programas sin que aparezca un aviso pidiendo permisos.
Aparentemente, otra forma de cargar y ejecutar código es acceder a algo como file://127.0.0.1/electron/rce.jar
Ejemplo de https://mksben.l0.cm/2020/10/discord-desktop-rce.html?m=1
Al revisar los scripts de preload, encontré que Discord expone la función, que permite que algunos módulos permitidos sean llamados a través de DiscordNative.nativeModules.requireModule('MODULE-NAME')
, en la página web.
Aquí, no pude usar módulos que se pueden utilizar para RCE directamente, como el módulo child_process, pero encontré un código donde se puede lograr RCE al sobrescribir los métodos incorporados de JavaScript e interferir con la ejecución del módulo expuesto.
Lo siguiente es la PoC. Pude confirmar que la aplicación calc se abre cuando llamo a la función getGPUDriverVersions
que está definida en el módulo llamado "discord_utils" desde devTools, mientras sobrescribo RegExp.prototype.test
y Array.prototype.join
.
La función getGPUDriverVersions
intenta ejecutar el programa utilizando la biblioteca "execa", como se muestra a continuación:
Normalmente, el execa intenta ejecutar "nvidia-smi.exe", que está especificado en la variable nvidiaSmiPath
, sin embargo, debido a la sobreescritura de RegExp.prototype.test
y Array.prototype.join
, el argumento se reemplaza por "calc" en el procesamiento interno del _execa_**.
Específicamente, el argumento se reemplaza cambiando las siguientes dos partes.
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)