Electron Desktop Apps
Last updated
Last updated
Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
Electron łączy lokalny backend (z NodeJS) i frontend (Chromium), chociaż brakuje mu niektórych mechanizmów bezpieczeństwa nowoczesnych przeglądarek.
Zazwyczaj kod aplikacji electron można znaleźć w aplikacji .asar
, aby uzyskać kod, musisz go wyodrębnić:
W kodzie źródłowym aplikacji Electron, w pliku packet.json
, można znaleźć określony plik main.js
, w którym ustawione są konfiguracje zabezpieczeń.
Electron ma 2 typy procesów:
Proces główny (ma pełny dostęp do NodeJS)
Proces renderera (powinien mieć ograniczony dostęp do NodeJS z powodów bezpieczeństwa)
Proces renderera będzie oknem przeglądarki ładującym plik:
Ustawienia procesu renderera mogą być konfigurowane w procesie głównym w pliku main.js. Niektóre z konfiguracji zapobiegną uzyskaniu RCE lub innych luk w zabezpieczeniach, jeśli ustawienia są poprawnie skonfigurowane.
Aplikacja electron może uzyskać dostęp do urządzenia za pomocą interfejsów API Node, chociaż można ją skonfigurować, aby temu zapobiec:
nodeIntegration
- jest wyłączone
domyślnie. Jeśli włączone, pozwala na dostęp do funkcji node z procesu renderera.
contextIsolation
- jest włączone
domyślnie. Jeśli wyłączone, procesy główny i renderer nie są izolowane.
preload
- domyślnie puste.
sandbox
- jest wyłączone domyślnie. Ograniczy działania, które NodeJS może wykonać.
Integracja Node w Workerach
nodeIntegrationInSubframes
- jest wyłączone
domyślnie.
Jeśli nodeIntegration
jest włączone, umożliwi to korzystanie z interfejsów API Node.js w stronach internetowych, które są ładowane w iframe w aplikacji Electron.
Jeśli nodeIntegration
jest wyłączone, wówczas preloady będą ładowane w iframe.
Przykład konfiguracji:
Niektóre RCE payloads z tutaj:
Zmień konfigurację start-main i dodaj użycie proxy, takiego jak:
Jeśli możesz lokalnie uruchomić aplikację Electron, istnieje możliwość, że będziesz mógł wykonać dowolny kod JavaScript. Sprawdź jak w:
macOS Electron Applications InjectionJeśli nodeIntegration jest ustawione na włączone, JavaScript na stronie internetowej może łatwo korzystać z funkcji Node.js, po prostu wywołując require()
. Na przykład, sposób uruchomienia aplikacji kalkulatora w systemie Windows to:
Skrypt wskazany w tym ustawieniu jest ładowany przed innymi skryptami w rendererze, więc ma nieograniczony dostęp do API Node:
Dlatego skrypt może eksportować node-features do stron:
Jeśli contextIsolation
jest włączony, to nie zadziała
contextIsolation wprowadza oddzielone konteksty między skryptami strony internetowej a wewnętrznym kodem JavaScript Electron, aby wykonanie JavaScriptu każdego kodu nie wpływało na siebie nawzajem. To jest niezbędna funkcja, aby wyeliminować możliwość RCE.
Jeśli konteksty nie są izolowane, atakujący może:
Wykonać dowolny JavaScript w rendererze (XSS lub nawigacja do zewnętrznych stron)
Nadpisać wbudowaną metodę, która jest używana w preload lub wewnętrznym kodzie Electron na własną funkcję
Wywołać użycie nadpisanej funkcji
RCE?
Są 2 miejsca, w których wbudowane metody mogą być nadpisane: W kodzie preload lub w wewnętrznym kodzie Electron:
Electron contextIsolation RCE via preload codeElectron contextIsolation RCE via Electron internal codeElectron contextIsolation RCE via IPCJeśli są nałożone ograniczenia podczas klikania w link, możesz być w stanie je obejść wykonując kliknięcie środkowe zamiast zwykłego lewego kliknięcia.
Aby uzyskać więcej informacji na temat tych przykładów, sprawdź https://shabarkin.medium.com/1-click-rce-in-electron-applications-79b52e1fe8b8 oraz https://benjamin-altpeter.de/shell-openexternal-dangers/
Podczas wdrażania aplikacji desktopowej Electron, zapewnienie odpowiednich ustawień dla nodeIntegration
i contextIsolation
jest kluczowe. Ustalono, że wykonywanie zdalnego kodu po stronie klienta (RCE), które celuje w skrypty preload lub natywny kod Electron z głównego procesu, jest skutecznie zapobiegane przy tych ustawieniach.
Gdy użytkownik wchodzi w interakcję z linkami lub otwiera nowe okna, uruchamiane są określone nasłuchiwacze zdarzeń, które są kluczowe dla bezpieczeństwa i funkcjonalności aplikacji:
Te nasłuchiwacze są nadpisywane przez aplikację desktopową, aby wdrożyć własną logikę biznesową. Aplikacja ocenia, czy nawigowany link powinien być otwarty wewnętrznie, czy w zewnętrznej przeglądarce internetowej. Decyzja ta jest zazwyczaj podejmowana przez funkcję openInternally
. Jeśli ta funkcja zwraca false
, oznacza to, że link powinien być otwarty zewnętrznie, wykorzystując funkcję shell.openExternal
.
Oto uproszczony pseudokod:
Najlepsze praktyki bezpieczeństwa Electron JS odradzają akceptowanie nieufnej zawartości za pomocą funkcji openExternal
, ponieważ może to prowadzić do RCE przez różne protokoły. Systemy operacyjne obsługują różne protokoły, które mogą wywołać RCE. Aby uzyskać szczegółowe przykłady i dalsze wyjaśnienia na ten temat, można odwołać się do tego zasobu, który zawiera przykłady protokołów Windows zdolnych do wykorzystania tej podatności.
Przykłady exploitów protokołów Windows obejmują:
Wyłączenie contextIsolation
umożliwia użycie tagów <webview>
, podobnie jak <iframe>
, do odczytu i eksfiltracji lokalnych plików. Przykład pokazany ilustruje, jak wykorzystać tę lukę do odczytania zawartości plików wewnętrznych:
Ponadto, udostępniona jest inna metoda odczytu pliku wewnętrznego, podkreślająca krytyczną lukę w odczycie lokalnych plików w aplikacji desktopowej Electron. Polega to na wstrzyknięciu skryptu w celu wykorzystania aplikacji i eksfiltracji danych:
Jeśli chromium używane przez aplikację jest stare i istnieją znane luki w nim, może być możliwe wykorzystanie tego i uzyskanie RCE przez XSS. Możesz zobaczyć przykład w tym opisie: https://blog.electrovolt.io/posts/discord-rce/
Zakładając, że znalazłeś XSS, ale nie możesz wywołać RCE ani ukraść plików wewnętrznych, możesz spróbować użyć go do kradzieży poświadczeń za pomocą phishingu.
Przede wszystkim musisz wiedzieć, co się dzieje, gdy próbujesz otworzyć nowy URL, sprawdzając kod JS w front-endzie:
Wywołanie openInternally
zdecyduje, czy link zostanie otwarty w oknie desktopowym, ponieważ jest to link należący do platformy, czy zostanie otwarty w przeglądarce jako zasób zewnętrzny.
W przypadku, gdy regex użyty przez funkcję jest vulnerable to bypasses (na przykład przez nieescapowanie kropek subdomen) atakujący mógłby wykorzystać XSS do otwarcia nowego okna, które będzie znajdować się w infrastrukturze atakującego prosząc o dane logowania od użytkownika:
Electronegativity to narzędzie do identyfikacji błędów konfiguracyjnych i wzorców antybezpieczeństwa w aplikacjach opartych na Electronie.
Electrolint to otwarty plugin VS Code dla aplikacji Electron, który wykorzystuje Electronegativity.
nodejsscan do sprawdzania podatnych bibliotek stron trzecich
Electro.ng: Musisz to kupić
W https://www.youtube.com/watch?v=xILfQGkLXQo&t=22s możesz znaleźć laboratorium do eksploatacji podatnych aplikacji Electron.
Kilka poleceń, które pomogą Ci w laboratorium:
Więcej badań i artykułów na temat bezpieczeństwa Electron w https://github.com/doyensec/awesome-electronjs-hacking
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)