mirror of
				https://github.com/HackTricks-wiki/hacktricks.git
				synced 2025-10-10 18:36:50 +00:00 
			
		
		
		
	Translated ['src/network-services-pentesting/pentesting-web/electron-des
This commit is contained in:
		
							parent
							
								
									6838f9069a
								
							
						
					
					
						commit
						11f658d2de
					
				
							
								
								
									
										1
									
								
								.gitignore
									
									
									
									
										vendored
									
									
								
							
							
						
						
									
										1
									
								
								.gitignore
									
									
									
									
										vendored
									
									
								
							| @ -10,3 +10,4 @@ scripts/* | ||||
| book | ||||
| book/* | ||||
| hacktricks-preprocessor.log | ||||
| hacktricks-preprocessor-error.log | ||||
|  | ||||
| @ -7,7 +7,14 @@ from os import path | ||||
| from urllib.request import urlopen, Request | ||||
| 
 | ||||
| logger = logging.getLogger(__name__) | ||||
| logging.basicConfig(filename='hacktricks-preprocessor.log', filemode='w', encoding='utf-8', level=logging.DEBUG) | ||||
| logger.setLevel(logging.DEBUG) | ||||
| handler = logging.FileHandler(filename='hacktricks-preprocessor.log', mode='w', encoding='utf-8') | ||||
| handler.setLevel(logging.DEBUG) | ||||
| logger.addHandler(handler) | ||||
| 
 | ||||
| handler2 = logging.FileHandler(filename='hacktricks-preprocessor-error.log', mode='w', encoding='utf-8') | ||||
| handler2.setLevel(logging.ERROR) | ||||
| logger.addHandler(handler2) | ||||
| 
 | ||||
| 
 | ||||
| def findtitle(search ,obj, key, path=(),): | ||||
| @ -27,7 +34,7 @@ def findtitle(search ,obj, key, path=(),): | ||||
| 
 | ||||
| 
 | ||||
| def ref(matchobj): | ||||
|     logger.debug(f'Match: {matchobj.groups(0)[0].strip()}') | ||||
|     logger.debug(f'Ref match: {matchobj.groups(0)[0].strip()}') | ||||
|     href =  matchobj.groups(0)[0].strip() | ||||
|     title = href | ||||
|     if href.startswith("http://") or href.startswith("https://"): | ||||
| @ -45,19 +52,29 @@ def ref(matchobj): | ||||
|         try: | ||||
|             if href.endswith("/"): | ||||
|                 href = href+"README.md" # Fix if ref points to a folder | ||||
|             chapter, _path = findtitle(href, book, "source_path") | ||||
|             logger.debug(f'Recursive title search result: {chapter["name"]}') | ||||
|             title = chapter['name'] | ||||
|             if "#" in  href: | ||||
|                 chapter, _path = findtitle(href.split("#")[0], book, "source_path") | ||||
|                 title = " ".join(href.split("#")[1].split("-")).title() | ||||
|                 logger.debug(f'Ref has # using title: {title}') | ||||
|             else: | ||||
|                 chapter, _path = findtitle(href, book, "source_path") | ||||
|                 logger.debug(f'Recursive title search result: {chapter["name"]}') | ||||
|                 title = chapter['name'] | ||||
|         except Exception as e: | ||||
|             try: | ||||
|                 dir = path.dirname(current_chapter['source_path']) | ||||
|                 logger.debug(f'Error getting chapter title: {href} trying with relative path {path.normpath(path.join(dir,href))}') | ||||
|                 chapter, _path = findtitle(path.normpath(path.join(dir,href)), book, "source_path") | ||||
|                 logger.debug(f'Recursive title search result: {chapter["name"]}') | ||||
|                 title = chapter['name'] | ||||
|                 if "#" in  href: | ||||
|                     chapter, _path = findtitle(path.normpath(path.join(dir,href.split('#')[0])), book, "source_path") | ||||
|                     title = " ".join(href.split("#")[1].split("-")).title() | ||||
|                     logger.debug(f'Ref has # using title: {title}') | ||||
|                 else: | ||||
|                     chapter, _path = findtitle(path.normpath(path.join(dir,href.split('#')[0])), book, "source_path") | ||||
|                     title = chapter["name"] | ||||
|                     logger.debug(f'Recursive title search result: {chapter["name"]}') | ||||
|             except Exception as e: | ||||
|                 logger.debug(f'Error getting chapter title: {path.normpath(path.join(dir,href))}') | ||||
|                 print(f'Error getting chapter title: {path.normpath(path.join(dir,href))}') | ||||
|                 logger.debug(e) | ||||
|                 logger.error(f'Error getting chapter title: {path.normpath(path.join(dir,href))}') | ||||
|                 sys.exit(1) | ||||
| 
 | ||||
| 
 | ||||
| @ -69,6 +86,7 @@ def ref(matchobj): | ||||
| 
 | ||||
|     return result | ||||
| 
 | ||||
| 
 | ||||
| def files(matchobj): | ||||
|     logger.debug(f'Files match: {matchobj.groups(0)[0].strip()}') | ||||
|     href =  matchobj.groups(0)[0].strip() | ||||
| @ -76,19 +94,19 @@ def files(matchobj): | ||||
| 
 | ||||
|     try: | ||||
|         for root, dirs, files in os.walk(os.getcwd()+'/src/files'): | ||||
|             logger.debug(root) | ||||
|             logger.debug(files) | ||||
|             if href in files: | ||||
|                 title = href | ||||
|                 logger.debug(f'File search result: {os.path.join(root, href)}') | ||||
|          | ||||
|     except Exception as e: | ||||
|         logger.debug(e) | ||||
|         logger.debug(f'Error searching file: {href}') | ||||
|         print(f'Error searching file: {href}') | ||||
|         logger.error(f'Error searching file: {href}') | ||||
|         sys.exit(1) | ||||
| 
 | ||||
|         if title=="": | ||||
|             logger.debug(f'Error searching file: {href}') | ||||
|             print(f'Error searching file: {href}') | ||||
|             logger.error(f'Error searching file: {href}') | ||||
|             sys.exit(1) | ||||
| 
 | ||||
|     template = f"""<a class="content_ref" href="/files/{href}"><span class="content_ref_label">{title}</span></a>""" | ||||
| @ -97,6 +115,7 @@ def files(matchobj): | ||||
| 
 | ||||
|     return result | ||||
| 
 | ||||
| 
 | ||||
| def add_read_time(content): | ||||
|     regex = r'(<\/style>\n# .*(?=\n))' | ||||
|     new_content = re.sub(regex, lambda x: x.group(0) + "\n\nReading time: {{ #reading_time }}", content) | ||||
| @ -126,15 +145,15 @@ if __name__ == '__main__': | ||||
|     context, book = json.load(sys.stdin) | ||||
| 
 | ||||
|     logger.debug(f"Context: {context}") | ||||
|     logger.debug(f"Env: {context['config']['preprocessor']['hacktricks']['env']}") | ||||
| 
 | ||||
|     for chapter in iterate_chapters(book['sections']): | ||||
|         logger.debug(f"Chapter: {chapter['path']}") | ||||
|         current_chapter = chapter | ||||
|         regex = r'{{[\s]*#ref[\s]*}}(?:\n)?([^\\\n]*)(?:\n)?{{[\s]*#endref[\s]*}}' | ||||
|         # regex = r'{{[\s]*#ref[\s]*}}(?:\n)?([^\\\n]*)(?:\n)?{{[\s]*#endref[\s]*}}' | ||||
|         regex = r'{{[\s]*#ref[\s]*}}(?:\n)?([^\\\n#]*(?:#(.*))?)(?:\n)?{{[\s]*#endref[\s]*}}' | ||||
|         new_content = re.sub(regex, ref, chapter['content']) | ||||
|         regex = r'{{[\s]*#file[\s]*}}(?:\n)?([^\\\n]*)(?:\n)?{{[\s]*#endfile[\s]*}}' | ||||
|         new_content = re.sub(regex, files, chapter['content']) | ||||
|         new_content = re.sub(regex, files, new_content) | ||||
|         new_content = add_read_time(new_content) | ||||
|         chapter['content'] = new_content | ||||
| 
 | ||||
|  | ||||
| @ -17,7 +17,7 @@ No código-fonte de um aplicativo Electron, dentro de `packet.json`, você pode | ||||
| "name": "standard-notes", | ||||
| "main": "./app/index.js", | ||||
| ``` | ||||
| O Electron tem 2 tipos de processo: | ||||
| O Electron tem 2 tipos de processos: | ||||
| 
 | ||||
| - Processo Principal (tem acesso completo ao NodeJS) | ||||
| - Processo de Renderização (deve ter acesso restrito ao NodeJS por razões de segurança) | ||||
| @ -95,7 +95,7 @@ onerror="alert(require('child_process').execSync('ls -l').toString());" /> | ||||
| src="x" | ||||
| onerror="alert(require('child_process').execSync('uname -a').toString());" /> | ||||
| ``` | ||||
| ### Captura de tráfego | ||||
| ### Capturar tráfego | ||||
| 
 | ||||
| Modifique a configuração start-main e adicione o uso de um proxy como: | ||||
| ```javascript | ||||
| @ -183,16 +183,16 @@ window.addEventListener('click', (e) => { | ||||
| ``` | ||||
| ## RCE via shell.openExternal | ||||
| 
 | ||||
| Para mais informações sobre estes exemplos, consulte [https://shabarkin.medium.com/1-click-rce-in-electron-applications-79b52e1fe8b8](https://shabarkin.medium.com/1-click-rce-in-electron-applications-79b52e1fe8b8) e [https://benjamin-altpeter.de/shell-openexternal-dangers/](https://benjamin-altpeter.de/shell-openexternal-dangers/) | ||||
| Para mais informações sobre esses exemplos, consulte [https://shabarkin.medium.com/1-click-rce-in-electron-applications-79b52e1fe8b8](https://shabarkin.medium.com/1-click-rce-in-electron-applications-79b52e1fe8b8) e [https://benjamin-altpeter.de/shell-openexternal-dangers/](https://benjamin-altpeter.de/shell-openexternal-dangers/) | ||||
| 
 | ||||
| Ao implantar um aplicativo de desktop Electron, garantir as configurações corretas para `nodeIntegration` e `contextIsolation` é crucial. Está estabelecido que **a execução remota de código do lado do cliente (RCE)** direcionada a scripts de preload ou ao código nativo do Electron a partir do processo principal é efetivamente prevenida com essas configurações em vigor. | ||||
| Ao implantar um aplicativo de desktop Electron, garantir as configurações corretas para `nodeIntegration` e `contextIsolation` é crucial. Está estabelecido que **execução remota de código (RCE)** do lado do cliente direcionando scripts de preload ou o código nativo do Electron a partir do processo principal é efetivamente prevenido com essas configurações em vigor. | ||||
| 
 | ||||
| Quando um usuário interage com links ou abre novas janelas, ouvintes de eventos específicos são acionados, os quais são cruciais para a segurança e funcionalidade do aplicativo: | ||||
| ```javascript | ||||
| webContents.on("new-window", function (event, url, disposition, options) {} | ||||
| webContents.on("will-navigate", function (event, url) {} | ||||
| ``` | ||||
| Esses ouvintes são **substituídos pelo aplicativo de desktop** para implementar sua própria **lógica de negócios**. O aplicativo avalia se um link navegável deve ser aberto internamente ou em um navegador da web externo. Essa decisão é geralmente tomada por meio de uma função, `openInternally`. Se essa função retornar `false`, isso indica que o link deve ser aberto externamente, utilizando a função `shell.openExternal`. | ||||
| Esses listeners são **substituídos pelo aplicativo de desktop** para implementar sua própria **lógica de negócios**. O aplicativo avalia se um link navegável deve ser aberto internamente ou em um navegador da web externo. Essa decisão é geralmente tomada por meio de uma função, `openInternally`. Se essa função retornar `false`, isso indica que o link deve ser aberto externamente, utilizando a função `shell.openExternal`. | ||||
| 
 | ||||
| **Aqui está um pseudocódigo simplificado:** | ||||
| 
 | ||||
| @ -202,6 +202,8 @@ Esses ouvintes são **substituídos pelo aplicativo de desktop** para implementa | ||||
| 
 | ||||
| As melhores práticas de segurança do Electron JS desaconselham aceitar conteúdo não confiável com a função `openExternal`, pois isso pode levar a RCE através de vários protocolos. Sistemas operacionais suportam diferentes protocolos que podem acionar RCE. Para exemplos detalhados e mais explicações sobre este tópico, pode-se consultar [este recurso](https://positive.security/blog/url-open-rce#windows-10-19042), que inclui exemplos de protocolos do Windows capazes de explorar essa vulnerabilidade. | ||||
| 
 | ||||
| No macOS, a função `openExternal` pode ser explorada para executar comandos arbitrários, como em `shell.openExternal('file:///System/Applications/Calculator.app')`. | ||||
| 
 | ||||
| **Exemplos de exploits de protocolos do Windows incluem:** | ||||
| ```html | ||||
| <script> | ||||
| @ -246,7 +248,7 @@ frames[0].document.body.innerText | ||||
| ``` | ||||
| ## **RCE: XSS + Old Chromium** | ||||
| 
 | ||||
| Se o **chromium** usado pela aplicação é **antigo** e há **vulnerabilidades conhecidas** nele, pode ser possível **explorá-lo e obter RCE através de um XSS**.\ | ||||
| Se o **chromium** usado pelo aplicativo é **antigo** e há **vulnerabilidades conhecidas** nele, pode ser possível **explorá-lo e obter RCE através de um XSS**.\ | ||||
| Você pode ver um exemplo neste **writeup**: [https://blog.electrovolt.io/posts/discord-rce/](https://blog.electrovolt.io/posts/discord-rce/) | ||||
| 
 | ||||
| ## **XSS Phishing via Internal URL regex bypass** | ||||
| @ -258,7 +260,7 @@ Primeiro de tudo, você precisa saber o que acontece quando tenta abrir uma nova | ||||
| webContents.on("new-window", function (event, url, disposition, options) {} // opens the custom openInternally function (it is declared below) | ||||
| webContents.on("will-navigate", function (event, url) {}                    // opens the custom openInternally function (it is declared below) | ||||
| ``` | ||||
| A chamada para **`openInternally`** decidirá se o **link** será **aberto** na **janela do desktop**, pois é um link pertencente à plataforma, **ou** se será aberto no **navegador como um recurso de 3ª parte**. | ||||
| A chamada para **`openInternally`** decidirá se o **link** será **aberto** na **janela do desktop** como um link pertencente à plataforma, **ou** se será aberto no **navegador como um recurso de 3ª parte**. | ||||
| 
 | ||||
| No caso de a **regex** usada pela função ser **vulnerável a bypasses** (por exemplo, por **não escapar os pontos dos subdomínios**), um atacante poderia abusar do XSS para **abrir uma nova janela que** estará localizada na infraestrutura do atacante **solicitando credenciais** ao usuário: | ||||
| ```html | ||||
| @ -266,18 +268,106 @@ No caso de a **regex** usada pela função ser **vulnerável a bypasses** (por e | ||||
| window.open("<http://subdomainagoogleq.com/index.html>") | ||||
| </script> | ||||
| ``` | ||||
| ## **Ferramentas** | ||||
| ## Módulo remoto | ||||
| 
 | ||||
| - [**Electronegativity**](https://github.com/doyensec/electronegativity) é uma ferramenta para identificar configurações incorretas e padrões de segurança inadequados em aplicações baseadas em Electron. | ||||
| O módulo Remote do Electron permite que **processos de renderização acessem APIs do processo principal**, facilitando a comunicação dentro de um aplicativo Electron. No entanto, habilitar este módulo introduz riscos significativos de segurança. Ele expande a superfície de ataque do aplicativo, tornando-o mais suscetível a vulnerabilidades, como ataques de cross-site scripting (XSS). | ||||
| 
 | ||||
| > [!TIP] | ||||
| > Embora o módulo **remote** exponha algumas APIs do principal para os processos de renderização, não é simples obter RCE apenas abusando dos componentes. No entanto, os componentes podem expor informações sensíveis. | ||||
| 
 | ||||
| > [!WARNING] | ||||
| > Muitos aplicativos que ainda usam o módulo remoto o fazem de uma maneira que **exige que o NodeIntegration esteja habilitado** no processo de renderização, o que é um **grande risco de segurança**. | ||||
| 
 | ||||
| Desde o Electron 14, o módulo `remote` do Electron pode ser habilitado em várias etapas, pois, por razões de segurança e desempenho, é **recomendado não usá-lo**. | ||||
| 
 | ||||
| Para habilitá-lo, primeiro é necessário **habilitá-lo no processo principal**: | ||||
| ```javascript | ||||
| const remoteMain = require('@electron/remote/main') | ||||
| remoteMain.initialize() | ||||
| [...] | ||||
| function createMainWindow() { | ||||
| mainWindow = new BrowserWindow({ | ||||
| [...] | ||||
| }) | ||||
| remoteMain.enable(mainWindow.webContents) | ||||
| ``` | ||||
| Então, o processo de renderização pode importar objetos do módulo, como: | ||||
| ```javascript | ||||
| import { dialog, getCurrentWindow } from '@electron/remote' | ||||
| ``` | ||||
| O **[blog post](https://blog.doyensec.com/2021/02/16/electron-apis-misuse.html)** indica algumas **funções** interessantes expostas pelo objeto **`app`** do módulo remoto: | ||||
| 
 | ||||
| - **`app.relaunch([options])`** | ||||
| - **Reinicia** a aplicação **saindo** da instância atual e **iniciando** uma nova. Útil para **atualizações de app** ou mudanças significativas de **estado**. | ||||
| - **`app.setAppLogsPath([path])`** | ||||
| - **Define** ou **cria** um diretório para armazenar **logs do app**. Os logs podem ser **recuperados** ou **modificados** usando **`app.getPath()`** ou **`app.setPath(pathName, newPath)`**. | ||||
| - **`app.setAsDefaultProtocolClient(protocol[, path, args])`** | ||||
| - **Registra** o executável atual como o **manipulador padrão** para um **protocolo** especificado. Você pode fornecer um **caminho personalizado** e **argumentos** se necessário. | ||||
| - **`app.setUserTasks(tasks)`** | ||||
| - **Adiciona** tarefas à **categoria de Tarefas** na **Jump List** (no Windows). Cada tarefa pode controlar como o app é **iniciado** ou quais **argumentos** são passados. | ||||
| - **`app.importCertificate(options, callback)`** | ||||
| - **Importa** um **certificado PKCS#12** para o **armazenamento de certificados** do sistema (apenas Linux). Um **callback** pode ser usado para lidar com o resultado. | ||||
| - **`app.moveToApplicationsFolder([options])`** | ||||
| - **Move** a aplicação para a **pasta Aplicativos** (no macOS). Ajuda a garantir uma **instalação padrão** para usuários de Mac. | ||||
| - **`app.setJumpList(categories)`** | ||||
| - **Define** ou **remove** uma **Jump List personalizada** no **Windows**. Você pode especificar **categorias** para organizar como as tarefas aparecem para o usuário. | ||||
| - **`app.setLoginItemSettings(settings)`** | ||||
| - **Configura** quais **executáveis** são iniciados no **login** junto com suas **opções** (apenas macOS e Windows). | ||||
| ```javascript | ||||
| Native.app.relaunch({args: [], execPath: "/System/Applications/Calculator.app/Contents/MacOS/Calculator"}); | ||||
| Native.app.exit() | ||||
| ``` | ||||
| ## systemPreferences module | ||||
| 
 | ||||
| A **API principal** para acessar preferências do sistema e **emitir eventos do sistema** no Electron. Métodos como **subscribeNotification**, **subscribeWorkspaceNotification**, **getUserDefault** e **setUserDefault** são todos **parte de** este módulo. | ||||
| 
 | ||||
| **Exemplo de uso:** | ||||
| ```javascript | ||||
| const { systemPreferences } = require('electron'); | ||||
| 
 | ||||
| // Subscribe to a specific notification | ||||
| systemPreferences.subscribeNotification('MyCustomNotification', (event, userInfo) => { | ||||
| console.log('Received custom notification:', userInfo); | ||||
| }); | ||||
| 
 | ||||
| // Get a user default key from macOS | ||||
| const recentPlaces = systemPreferences.getUserDefault('NSNavRecentPlaces', 'array'); | ||||
| console.log('Recent Places:', recentPlaces); | ||||
| ``` | ||||
| ### **subscribeNotification / subscribeWorkspaceNotification** | ||||
| 
 | ||||
| * **Escuta** por **notificações nativas do macOS** usando NSDistributedNotificationCenter. | ||||
| * Antes do **macOS Catalina**, você poderia interceptar **todas** as notificações distribuídas passando **nil** para CFNotificationCenterAddObserver. | ||||
| * Após **Catalina / Big Sur**, aplicativos em sandbox ainda podem **se inscrever** em **muitos eventos** (por exemplo, **bloqueios/desbloqueios de tela**, **montagens de volume**, **atividade de rede**, etc.) registrando notificações **pelo nome**. | ||||
| 
 | ||||
| ### **getUserDefault / setUserDefault** | ||||
| 
 | ||||
| * **Interage** com **NSUserDefaults**, que armazena **preferências** de **aplicativos** ou **globais** no macOS. | ||||
| 
 | ||||
| * **getUserDefault** pode **recuperar** informações sensíveis, como **localizações de arquivos recentes** ou **localização geográfica do usuário**. | ||||
| 
 | ||||
| * **setUserDefault** pode **modificar** essas preferências, potencialmente afetando a **configuração** de um aplicativo. | ||||
| 
 | ||||
| * Em **versões mais antigas do Electron** (antes da v8.3.0), apenas a **conjunto padrão** de NSUserDefaults estava **acessível**. | ||||
| 
 | ||||
| ## Shell.showItemInFolder | ||||
| 
 | ||||
| Esta função mostra o arquivo dado em um gerenciador de arquivos, que **pode executar automaticamente o arquivo**. | ||||
| 
 | ||||
| Para mais informações, consulte [https://blog.doyensec.com/2021/02/16/electron-apis-misuse.html](https://blog.doyensec.com/2021/02/16/electron-apis-misuse.html) | ||||
| 
 | ||||
| ## **Tools** | ||||
| 
 | ||||
| - [**Electronegativity**](https://github.com/doyensec/electronegativity) é uma ferramenta para identificar configurações incorretas e padrões de segurança em aplicações baseadas em Electron. | ||||
| - [**Electrolint**](https://github.com/ksdmitrieva/electrolint) é um plugin de código aberto para VS Code para aplicações Electron que utiliza Electronegativity. | ||||
| - [**nodejsscan**](https://github.com/ajinabraham/nodejsscan) para verificar bibliotecas de terceiros vulneráveis | ||||
| - [**Electro.ng**](https://electro.ng/): Você precisa comprá-lo | ||||
| - [**nodejsscan**](https://github.com/ajinabraham/nodejsscan) para verificar bibliotecas de terceiros vulneráveis. | ||||
| - [**Electro.ng**](https://electro.ng/): Você precisa comprá-lo. | ||||
| 
 | ||||
| ## Laboratórios | ||||
| ## Labs | ||||
| 
 | ||||
| Em [https://www.youtube.com/watch?v=xILfQGkLXQo\&t=22s](https://www.youtube.com/watch?v=xILfQGkLXQo&t=22s) você pode encontrar um laboratório para explorar aplicativos Electron vulneráveis. | ||||
| 
 | ||||
| Alguns comandos que irão ajudá-lo no laboratório: | ||||
| Alguns comandos que ajudarão você no laboratório: | ||||
| ```bash | ||||
| # Download apps from these URls | ||||
| # Vuln to nodeIntegration | ||||
| @ -309,5 +399,6 @@ npm start | ||||
| - [https://www.youtube.com/watch?v=xILfQGkLXQo\&t=22s](https://www.youtube.com/watch?v=xILfQGkLXQo&t=22s) | ||||
| - Mais pesquisas e artigos sobre segurança do Electron em [https://github.com/doyensec/awesome-electronjs-hacking](https://github.com/doyensec/awesome-electronjs-hacking) | ||||
| - [https://www.youtube.com/watch?v=Tzo8ucHA5xw\&list=PLH15HpR5qRsVKcKwvIl-AzGfRqKyx--zq\&index=81](https://www.youtube.com/watch?v=Tzo8ucHA5xw&list=PLH15HpR5qRsVKcKwvIl-AzGfRqKyx--zq&index=81) | ||||
| - [https://blog.doyensec.com/2021/02/16/electron-apis-misuse.html](https://blog.doyensec.com/2021/02/16/electron-apis-misuse.html) | ||||
| 
 | ||||
| {{#include ../../../banners/hacktricks-training.md}} | ||||
|  | ||||
		Loading…
	
	
			
			x
			
			
		
	
		Reference in New Issue
	
	Block a user