From 1d0e54c9b4cd778acc8c4230dfe62d81747b6482 Mon Sep 17 00:00:00 2001 From: Translator Date: Wed, 16 Jul 2025 02:44:39 +0000 Subject: [PATCH] Translated ['src/macos-hardening/macos-security-and-privilege-escalation --- .../macos-electron-applications-injection.md | 53 +++++++++++++------ 1 file changed, 37 insertions(+), 16 deletions(-) diff --git a/src/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-electron-applications-injection.md b/src/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-electron-applications-injection.md index 0a5e9ee63..50f13a28c 100644 --- a/src/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-electron-applications-injection.md +++ b/src/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/macos-electron-applications-injection.md @@ -14,7 +14,7 @@ - **`RunAsNode`**:如果禁用,它会阻止使用环境变量 **`ELECTRON_RUN_AS_NODE`** 来注入代码。 - **`EnableNodeCliInspectArguments`**:如果禁用,像 `--inspect`、`--inspect-brk` 这样的参数将不被尊重。避免通过这种方式注入代码。 - **`EnableEmbeddedAsarIntegrityValidation`**:如果启用,加载的 **`asar`** **文件** 将由 macOS **验证**。以此方式 **防止** 通过修改该文件的内容进行 **代码注入**。 -- **`OnlyLoadAppFromAsar`**:如果启用,它将只检查并使用 app.asar,而不是按以下顺序加载:**`app.asar`**、**`app`**,最后是 **`default_app.asar`**。因此,当与 **`embeddedAsarIntegrityValidation`** fuse 结合使用时,确保 **不可能** **加载未验证的代码**。 +- **`OnlyLoadAppFromAsar`**:如果启用,它将只检查并使用 app.asar,而不是按以下顺序加载:**`app.asar`**、**`app`**,最后是 **`default_app.asar`**。因此确保当与 **`embeddedAsarIntegrityValidation`** fuse **结合** 时,**不可能** **加载未验证的代码**。 - **`LoadBrowserProcessSpecificV8Snapshot`**:如果启用,浏览器进程使用名为 `browser_v8_context_snapshot.bin` 的文件作为其 V8 快照。 另一个有趣的 fuse 不会阻止代码注入的是: @@ -39,20 +39,20 @@ LoadBrowserProcessSpecificV8Snapshot is Disabled ``` ### 修改 Electron Fuses -如[**文档所述**](https://www.electronjs.org/docs/latest/tutorial/fuses#runasnode),**Electron Fuses**的配置是在包含字符串**`dL7pKGdnNz796PbbjQWNKmHXBZaB9tsX`**的**Electron 二进制文件**内部配置的。 +正如 [**文档提到的**](https://www.electronjs.org/docs/latest/tutorial/fuses#runasnode),**Electron Fuses** 的配置是在 **Electron binary** 内部配置的,其中包含字符串 **`dL7pKGdnNz796PbbjQWNKmHXBZaB9tsX`**。 -在 macOS 应用程序中,这通常位于`application.app/Contents/Frameworks/Electron Framework.framework/Electron Framework` +在 macOS 应用程序中,这通常位于 `application.app/Contents/Frameworks/Electron Framework.framework/Electron Framework` ```bash grep -R "dL7pKGdnNz796PbbjQWNKmHXBZaB9tsX" Slack.app/ Binary file Slack.app//Contents/Frameworks/Electron Framework.framework/Versions/A/Electron Framework matches ``` -您可以在 [https://hexed.it/](https://hexed.it/) 中加载此文件并搜索前面的字符串。在此字符串之后,您可以在 ASCII 中看到数字 "0" 或 "1",指示每个保险丝是禁用还是启用。只需修改十六进制代码(`0x30` 是 `0`,`0x31` 是 `1`)以 **修改保险丝值**。 +您可以在 [https://hexed.it/](https://hexed.it/) 中加载此文件并搜索前面的字符串。在此字符串之后,您可以在 ASCII 中看到一个数字 "0" 或 "1",指示每个保险丝是禁用还是启用。只需修改十六进制代码(`0x30` 是 `0`,`0x31` 是 `1`)以 **修改保险丝值**。
-请注意,如果您尝试 **覆盖** 应用程序中已修改字节的 **`Electron Framework`** 二进制文件,则该应用程序将无法运行。 +请注意,如果您尝试 **覆盖** 应用程序内部的 **`Electron Framework`** 二进制文件并修改这些字节,则应用程序将无法运行。 -## RCE 向 Electron 应用程序添加代码 +## 向 Electron 应用程序添加 RCE 代码 可能有 **外部 JS/HTML 文件** 被 Electron 应用程序使用,因此攻击者可以在这些文件中注入代码,这些文件的签名不会被检查,并在应用程序的上下文中执行任意代码。 @@ -60,7 +60,7 @@ Binary file Slack.app//Contents/Frameworks/Electron Framework.framework/Versions > 但是,目前有 2 个限制: > > - 修改应用程序需要 **`kTCCServiceSystemPolicyAppBundles`** 权限,因此默认情况下这不再可能。 -> - 编译后的 **`asap`** 文件通常具有 **`embeddedAsarIntegrityValidation`** 和 **`onlyLoadAppFromAsar`** 启用 +> - 编译后的 **`asap`** 文件通常具有 **`embeddedAsarIntegrityValidation`** 和 **`onlyLoadAppFromAsar`** `启用` > > 这使得攻击路径更加复杂(或不可能)。 @@ -125,11 +125,11 @@ NODE_OPTIONS="--require /tmp/payload.js" ELECTRON_RUN_AS_NODE=1 /Applications/Di > [!CAUTION] > 如果熔断器 **`EnableNodeOptionsEnvironmentVariable`** 被 **禁用**,则应用在启动时将 **忽略** 环境变量 **NODE_OPTIONS**,除非环境变量 **`ELECTRON_RUN_AS_NODE`** 被设置,如果熔断器 **`RunAsNode`** 被禁用,该变量也将被 **忽略**。 > -> 如果您不设置 **`ELECTRON_RUN_AS_NODE`**,您将会遇到 **错误**:`Most NODE_OPTIONs are not supported in packaged apps. See documentation for more details.` +> 如果您不设置 **`ELECTRON_RUN_AS_NODE`**,您将会发现 **错误**:`Most NODE_OPTIONs are not supported in packaged apps. See documentation for more details.` ### 从 App Plist 注入 -您可以在 plist 中滥用此环境变量,通过添加以下键来保持持久性: +您可以在 plist 中滥用此环境变量以保持持久性,添加以下键: ```xml EnvironmentVariables @@ -147,7 +147,7 @@ NODE_OPTIONS="--require /tmp/payload.js" ELECTRON_RUN_AS_NODE=1 /Applications/Di ``` ## RCE with inspecting -根据[**这个**](https://medium.com/@metnew/why-electron-apps-cant-store-your-secrets-confidentially-inspect-option-a49950d6d51f)的说法,如果你使用 **`--inspect`**、**`--inspect-brk`** 和 **`--remote-debugging-port`** 等标志执行一个 Electron 应用程序,将会 **打开一个调试端口**,这样你就可以连接到它(例如从 Chrome 的 `chrome://inspect`),并且你将能够 **在其上注入代码**,甚至启动新的进程。\ +根据[**这个**](https://medium.com/@metnew/why-electron-apps-cant-store-your-secrets-confidentially-inspect-option-a49950d6d51f)的说法,如果你使用 **`--inspect`**、**`--inspect-brk`** 和 **`--remote-debugging-port`** 等标志执行 Electron 应用程序,将会 **打开一个调试端口**,这样你就可以连接到它(例如从 Chrome 的 `chrome://inspect`),并且你将能够 **在其上注入代码**,甚至启动新进程。\ 例如: ```bash /Applications/Signal.app/Contents/MacOS/Signal --inspect=9229 @@ -159,7 +159,7 @@ require('child_process').execSync('/System/Applications/Calculator.app/Contents/ > [!TIP] > 如果一个应用有其自定义的方式来检查环境变量或参数,例如 `--inspect` 是否设置,你可以尝试在运行时使用参数 `--inspect-brk` **绕过** 它,这将 **在应用开始时停止执行** 并执行一个绕过(例如,覆盖当前进程的参数或环境变量)。 -以下是一个利用监控和执行带有参数 `--inspect-brk` 的应用的漏洞,通过这种方式可以绕过它的自定义保护(覆盖进程的参数以移除 `--inspect-brk`),然后注入一个 JS 负载以转储应用的 cookies 和凭证: +以下是一个利用监控和执行带有参数 `--inspect-brk` 的应用的漏洞,通过这种方式可以绕过它的自定义保护(覆盖进程的参数以移除 `--inspect-brk`),然后注入一个 JS 负载以转储应用的 cookies 和凭据: ```python import asyncio import websockets @@ -377,9 +377,9 @@ ws.connect("ws://localhost:9222/devtools/page/85976D59050BFEFDBA48204E3D865D00", ws.send('{\"id\": 1, \"method\": \"Network.getAllCookies\"}') print(ws.recv() ``` -### Injection from the App Plist +### 从应用程序 Plist 注入 -您可以在 plist 中滥用此环境变量,通过添加以下键来保持持久性: +您可以在 plist 中滥用此环境变量以保持持久性,添加以下键: ```xml ProgramArguments @@ -396,12 +396,31 @@ print(ws.recv() ## TCC Bypass abusing Older Versions > [!TIP] -> macOS 的 TCC 守护进程不会检查应用程序的执行版本。因此,如果您 **无法在 Electron 应用程序中注入代码**,可以下载该应用的旧版本并在其上注入代码,因为它仍然会获得 TCC 权限(除非信任缓存阻止它)。 +> macOS 的 TCC 守护进程不会检查应用程序的执行版本。因此,如果您 **无法使用任何先前的技术在 Electron 应用程序中注入代码**,您可以下载该应用程序的早期版本并在其上注入代码,因为它仍然会获得 TCC 权限(除非信任缓存阻止它)。 ## Run non JS Code -之前的技术将允许您在 **Electron 应用程序的进程中运行 JS 代码**。但是,请记住,**子进程在与父应用程序相同的沙箱配置文件下运行**,并且 **继承它们的 TCC 权限**。\ -因此,如果您想利用权限访问相机或麦克风,例如,您可以直接 **从进程中运行另一个二进制文件**。 +先前的技术将允许您在 **Electron 应用程序的进程中运行 JS 代码**。但是,请记住,**子进程在与父应用程序相同的沙箱配置文件下运行**,并且 **继承它们的 TCC 权限**。\ +因此,如果您想利用权限访问摄像头或麦克风,例如,您可以直接 **从进程中运行另一个二进制文件**。 + +## Notable Electron macOS Vulnerabilities (2023-2024) + +### CVE-2023-44402 – ASAR integrity bypass + +Electron ≤22.3.23 和各种 23-27 预发布版本允许具有写入权限的攻击者绕过 `embeddedAsarIntegrityValidation` **和** `onlyLoadAppFromAsar` 保护。该漏洞是完整性检查器中的 *文件类型混淆*,使得一个精心制作的 **名为 `app.asar` 的目录** 被加载,而不是经过验证的归档,因此放置在该目录中的任何 JavaScript 在应用程序启动时都会被执行。因此,即使是遵循了加固指导并启用了这两个保护的供应商,在 macOS 上仍然存在漏洞。 + +已修补的 Electron 版本:**22.3.24**、**24.8.3**、**25.8.1**、**26.2.1** 和 **27.0.0-alpha.7**。发现运行旧版本应用程序的攻击者可以用自己的目录覆盖 `Contents/Resources/app.asar`,以使用应用程序的 TCC 权限执行代码。 + +### 2024 “RunAsNode” / “enableNodeCliInspectArguments” CVE cluster + +在 2024 年 1 月,一系列 CVE(CVE-2024-23738 至 CVE-2024-23743)突显出许多 Electron 应用程序仍然启用了 **RunAsNode** 和 **EnableNodeCliInspectArguments** 保护。因此,本地攻击者可以通过环境变量 `ELECTRON_RUN_AS_NODE=1` 或标志如 `--inspect-brk` 重新启动程序,将其转变为 *通用* Node.js 进程,并继承所有应用程序的沙箱和 TCC 权限。 + +尽管 Electron 团队对“关键”评级提出异议,并指出攻击者已经需要本地代码执行,但该问题在后期利用中仍然有价值,因为它将任何易受攻击的 Electron 包转变为 *living-off-the-land* 二进制文件,例如可以读取联系人、照片或其他先前授予桌面应用程序的敏感资源。 + +Electron 维护者的防御指导: + +* 在生产版本中禁用 `RunAsNode` 和 `EnableNodeCliInspectArguments` 保护。 +* 如果您的应用程序确实需要辅助 Node.js 进程,请使用更新的 **UtilityProcess** API,而不是重新启用这些保护。 ## Automatic Injection @@ -453,6 +472,8 @@ Loki 旨在通过用 Loki 命令与控制 JavaScript 文件替换应用程序的 - [https://www.electronjs.org/docs/latest/tutorial/fuses](https://www.electronjs.org/docs/latest/tutorial/fuses) - [https://www.trustedsec.com/blog/macos-injection-via-third-party-frameworks](https://www.trustedsec.com/blog/macos-injection-via-third-party-frameworks) +- [https://github.com/electron/electron/security/advisories/GHSA-7m48-wc93-9g85](https://github.com/electron/electron/security/advisories/GHSA-7m48-wc93-9g85) +- [https://www.electronjs.org/blog/statement-run-as-node-cves](https://www.electronjs.org/blog/statement-run-as-node-cves) - [https://m.youtube.com/watch?v=VWQY5R2A6X8](https://m.youtube.com/watch?v=VWQY5R2A6X8) {{#include ../../../banners/hacktricks-training.md}}