Electron Desktop Apps
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Electronは、ローカルバックエンド(NodeJS)とフロントエンド(Chromium)を組み合わせていますが、最新のブラウザのセキュリティメカニズムのいくつかが欠けています。
通常、Electronアプリのコードは.asar
アプリケーション内に見つかります。コードを取得するには、抽出する必要があります:
Electronアプリのソースコード内のpacket.json
には、セキュリティ設定が行われているmain.js
ファイルが指定されています。
Electronには2つのプロセスタイプがあります:
メインプロセス(NodeJSへの完全なアクセス権を持つ)
レンダラープロセス(セキュリティ上の理由からNodeJSへのアクセスが制限されるべき)
レンダラープロセスは、ファイルを読み込むブラウザウィンドウになります:
設定は、renderer process内でmain processのmain.jsファイルに設定できます。いくつかの設定は、設定が正しく構成されている場合、ElectronアプリケーションがRCEやその他の脆弱性を持つのを防ぐことができます。
Electronアプリケーションは、Node APIを介してデバイスにアクセスすることができますが、それを防ぐように構成することもできます:
nodeIntegration
- デフォルトではoff
です。オンの場合、renderer processからNode機能にアクセスできます。
contextIsolation
- デフォルトではon
です。オフの場合、mainとrendererプロセスは分離されません。
preload
- デフォルトでは空です。
sandbox
- デフォルトではオフです。NodeJSが実行できるアクションを制限します。
WorkersにおけるNode Integration
nodeIntegrationInSubframes
- デフォルトではoff
です。
nodeIntegration
が有効になっている場合、これはElectronアプリケーション内のiframeで読み込まれたウェブページでNode.js APIを使用することを許可します。
nodeIntegration
が無効になっている場合、preloadはiframe内で読み込まれます。
設定の例:
いくつかの RCEペイロード は こちら から:
start-main構成を変更し、次のようなプロキシの使用を追加します:
Electronアプリをローカルで実行できる場合、任意のJavaScriptコードを実行させることが可能です。方法は以下を確認してください:
nodeIntegrationがonに設定されている場合、ウェブページのJavaScriptはrequire()
を呼び出すだけでNode.jsの機能を簡単に使用できます。例えば、Windowsでcalcアプリケーションを実行する方法は次の通りです:
この設定で示されたスクリプトはレンダラー内の他のスクリプトの前に読み込まれ、したがってNode APIへの無制限のアクセスを持ちます:
したがって、スクリプトはnode-featuresをページにエクスポートできます:
contextIsolation
がオンの場合、これは機能しません
contextIsolation は、ウェブページのスクリプトとJavaScript Electronの内部コードの間に分離されたコンテキストを導入し、各コードのJavaScript実行が互いに影響を与えないようにします。これはRCEの可能性を排除するために必要な機能です。
コンテキストが分離されていない場合、攻撃者は以下のことができます:
レンダラーで任意のJavaScriptを実行(XSSまたは外部サイトへのナビゲーション)
プリロードまたはElectron内部コードで使用される組み込みメソッドを上書きして独自の関数にする
上書きされた関数の使用をトリガー
RCE?
組み込みメソッドを上書きできる場所は2つあります:プリロードコードまたはElectron内部コード:
リンクをクリックしたときに制限が適用されている場合、通常の左クリックの代わりにミドルクリックを行うことでそれをバイパスできるかもしれません。
この例に関する詳細は、https://shabarkin.medium.com/1-click-rce-in-electron-applications-79b52e1fe8b8 と https://benjamin-altpeter.de/shell-openexternal-dangers/ を確認してください。
Electronデスクトップアプリケーションを展開する際には、nodeIntegration
と contextIsolation
の設定が正しいことを確認することが重要です。**クライアント側のリモートコード実行(RCE)**がプリロードスクリプトやメインプロセスからのElectronのネイティブコードをターゲットにする場合、これらの設定が整っていれば効果的に防止されることが確立されています。
ユーザーがリンクと対話したり新しいウィンドウを開いたりすると、特定のイベントリスナーがトリガーされ、アプリケーションのセキュリティと機能にとって重要です:
これらのリスナーはデスクトップアプリケーションによってオーバーライドされ、独自のビジネスロジックを実装します。アプリケーションは、ナビゲートされたリンクを内部で開くべきか、外部のウェブブラウザで開くべきかを評価します。この決定は通常、openInternally
という関数を通じて行われます。この関数がfalse
を返す場合、リンクは外部で開くべきであることを示し、shell.openExternal
関数を利用します。
以下は簡略化された擬似コードです:
Electron JSのセキュリティベストプラクティスは、openExternal
関数で信頼できないコンテンツを受け入れることを避けるように助言しています。これは、さまざまなプロトコルを通じてRCEを引き起こす可能性があります。オペレーティングシステムは、RCEを引き起こす可能性のある異なるプロトコルをサポートしています。このトピックに関する詳細な例やさらなる説明については、このリソースを参照してください。ここには、この脆弱性を悪用できるWindowsプロトコルの例が含まれています。
Windowsプロトコルの悪用の例には:
contextIsolation
を無効にすると、ローカルファイルを読み取って外部に流出させるために、<webview>
タグを使用できるようになります。提供された例は、この脆弱性を利用して内部ファイルの内容を読み取る方法を示しています:
さらに、内部ファイルを読み取るための別の方法が共有されており、Electronデスクトップアプリにおける重大なローカルファイル読み取りの脆弱性を強調しています。これには、アプリケーションを悪用してデータを外部に流出させるためのスクリプトを注入することが含まれます:
アプリケーションで使用されているchromiumが古い場合、既知の****脆弱性があると、それを悪用してXSSを通じてRCEを取得することが可能かもしれません。 このwriteupの例を参照してください: https://blog.electrovolt.io/posts/discord-rce/
XSSを見つけたが、RCEをトリガーできないか内部ファイルを盗むことができない場合、フィッシングを通じて資格情報を盗むためにそれを使用することを試みることができます。
まず最初に、新しいURLを開こうとしたときに何が起こるかを知る必要があります。フロントエンドのJSコードを確認してください:
openInternally
への呼び出しは、リンクがプラットフォームに属するリンクであるため、デスクトップウィンドウで開かれるか、ブラウザの3rdパーティリソースとして開かれるかを決定します。
関数で使用されるregexがバイパスに対して脆弱な場合(例えば、サブドメインのドットをエスケープしない場合)、攻撃者はXSSを悪用して、攻撃者のインフラストラクチャに位置する新しいウィンドウを開き、ユーザーに認証情報を要求することができます:
Electronegativity は、Electronベースのアプリケーションにおける誤設定やセキュリティのアンチパターンを特定するためのツールです。
Electrolint は、Electronegativityを使用するElectronアプリケーション用のオープンソースのVS Codeプラグインです。
nodejsscan は、脆弱なサードパーティライブラリをチェックするためのツールです。
Electro.ng: 購入が必要です。
https://www.youtube.com/watch?v=xILfQGkLXQo&t=22s では、脆弱なElectronアプリを悪用するためのラボを見つけることができます。
ラボに役立ついくつかのコマンド:
Electronセキュリティに関するさらなる研究と記事はhttps://github.com/doyensec/awesome-electronjs-hackingで確認できます。
AWSハッキングを学び、実践する:HackTricks Training AWS Red Team Expert (ARTE) GCPハッキングを学び、実践する:HackTricks Training GCP Red Team Expert (GRTE)