Electron contextIsolation RCE via preload code
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Questo codice apre i link http(s) con il browser predefinito:
Qualcosa come file:///C:/Windows/systemd32/calc.exe
potrebbe essere usato per eseguire una calcolatrice, il SAFE_PROTOCOLS.indexOf
lo sta prevenendo.
Pertanto, un attaccante potrebbe iniettare questo codice JS tramite XSS o navigazione arbitraria della pagina:
Poiché la chiamata a SAFE_PROTOCOLS.indexOf
restituirà sempre 1337, l'attaccante può eludere la protezione ed eseguire il calcolatore. Exploit finale:
Controlla le diapositive originali per altri modi di eseguire programmi senza avere un prompt che chiede permessi.
A quanto pare, un altro modo per caricare ed eseguire codice è accedere a qualcosa come file://127.0.0.1/electron/rce.jar
Esempio da https://mksben.l0.cm/2020/10/discord-desktop-rce.html?m=1
Controllando gli script di preload, ho scoperto che Discord espone la funzione, che consente di chiamare alcuni moduli autorizzati tramite DiscordNative.nativeModules.requireModule('MODULE-NAME')
, nella pagina web.
Qui, non potevo usare moduli che possono essere utilizzati per RCE direttamente, come il modulo child_process, ma ho trovato un codice dove RCE può essere ottenuto sovrascrivendo i metodi incorporati di JavaScript e interferendo con l'esecuzione del modulo esposto.
Di seguito è riportato il PoC. Sono riuscito a confermare che l'applicazione calc viene aperta quando chiamo la funzione getGPUDriverVersions
che è definita nel modulo chiamato "discord_utils" da devTools, mentre sovrascriviamo RegExp.prototype.test
e Array.prototype.join
.
La funzione getGPUDriverVersions
cerca di eseguire il programma utilizzando la libreria "execa", come segue:
Di solito, execa cerca di eseguire "nvidia-smi.exe", che è specificato nella variabile nvidiaSmiPath
, tuttavia, a causa dell'override di RegExp.prototype.test
e Array.prototype.join
, l'argomento viene sostituito con "calc" nell'elaborazione interna di _execa_**.
Specificamente, l'argomento viene sostituito modificando le seguenti due parti.
Impara e pratica Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Impara e pratica Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)