Electron contextIsolation RCE via preload code
Example 1
Цей код відкриває http(s) посилання в браузері за замовчуванням:
Щось на кшталт file:///C:/Windows/systemd32/calc.exe
може бути використано для виконання калькулятора, SAFE_PROTOCOLS.indexOf
запобігає цьому.
Отже, зловмисник може впровадити цей JS код через XSS або довільну навігацію на сторінці:
Оскільки виклик до SAFE_PROTOCOLS.indexOf
завжди поверне 1337, зловмисник може обійти захист і виконати calc. Остаточний експлойт:
Перевірте оригінальні слайди на наявність інших способів виконання програм без запиту дозволів.
Очевидно, ще один спосіб завантажити та виконати код - це отримати доступ до чогось на зразок file://127.0.0.1/electron/rce.jar
Приклад 2: RCE додатку Discord
Приклад з https://mksben.l0.cm/2020/10/discord-desktop-rce.html?m=1
Перевіряючи скрипти попереднього завантаження, я виявив, що Discord відкриває функцію, яка дозволяє викликати деякі дозволені модулі через DiscordNative.nativeModules.requireModule('MODULE-NAME')
, на веб-сторінці.
Тут я не міг використовувати модулі, які можуть бути використані для RCE безпосередньо, такі як child_process модуль, але я знайшов код, де RCE може бути досягнуто шляхом перевизначення вбудованих методів JavaScript та втручання у виконання відкритого модуля.
Наступне - це PoC. Я зміг підтвердити, що додаток calc з'являється, коли я викликаю функцію getGPUDriverVersions
, яка визначена в модулі під назвою "discord_utils" з devTools, при цьому перевизначаючи RegExp.prototype.test
та Array.prototype.join
.
Функція getGPUDriverVersions
намагається виконати програму, використовуючи бібліотеку "execa", як показано нижче:
Зазвичай execa намагається виконати "nvidia-smi.exe", який вказаний у змінній nvidiaSmiPath
, однак, через переоприділений RegExp.prototype.test
та Array.prototype.join
, аргумент замінюється на "calc" у внутрішній обробці _execa_**.
Конкретно, аргумент замінюється шляхом зміни наступних двох частин.
Last updated