Electron contextIsolation RCE via preload code
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
このコードはデフォルトのブラウザでhttp(s)リンクを開きます:
file:///C:/Windows/systemd32/calc.exe
のようなものを使用してcalcを実行することができますが、SAFE_PROTOCOLS.indexOf
がそれを防いでいます。
したがって、攻撃者はXSSまたは任意のページナビゲーションを介してこのJSコードを注入することができます:
SAFE_PROTOCOLS.indexOf
を呼び出すと常に1337が返されるため、攻撃者は保護を回避し、calcを実行できます。最終的なエクスプロイト:
オリジナルのスライドを確認して、許可を求めるプロンプトなしでプログラムを実行する他の方法を探してください。
明らかに、コードをロードして実行する別の方法は、file://127.0.0.1/electron/rce.jar
のようなものにアクセスすることです。
https://mksben.l0.cm/2020/10/discord-desktop-rce.html?m=1からの例
プリロードスクリプトを確認したところ、Discordは、許可されたモジュールのいくつかをDiscordNative.nativeModules.requireModule('MODULE-NAME')
を介してウェブページに呼び出すことを可能にする関数を公開しています。
ここでは、_child_process_モジュールのようなRCEに直接使用できるモジュールを使用することはできませんでしたが、JavaScriptの組み込みメソッドをオーバーライドすることによってRCEを達成できるコードを見つけました。公開されたモジュールの実行に干渉します。
以下はPoCです。**RegExp.prototype.test
とArray.prototype.join
をオーバーライドしながら、devToolsから"discord_utils"というモジュールで定義されたgetGPUDriverVersions
関数を呼び出すと、calcアプリケーションがポップアップすることを確認できました。
getGPUDriverVersions
関数は、次のように "execa" ライブラリを使用してプログラムを実行しようとします。
通常、execa_はnvidiaSmiPath
変数で指定された"nvidia-smi.exe"を実行しようとしますが、オーバーライドされたRegExp.prototype.test
とArray.prototype.join
のために、引数は_execa_の内部処理で"calc_"に置き換えられます。
具体的には、引数は以下の2つの部分を変更することで置き換えられます。
AWSハッキングを学び、練習する:HackTricks Training AWS Red Team Expert (ARTE) GCPハッキングを学び、練習する: HackTricks Training GCP Red Team Expert (GRTE)