『渗透测试』electron投毒简介

admin 2025年1月1日22:41:30评论26 views字数 1460阅读4分52秒阅读模式

点击蓝字

『渗透测试』electron投毒简介

关注我们

日期:2024.12.30

作者:nothing

介绍:通过本文学习electron投毒技术的简单利用。

0x00 前言

随着现在跨平台使用应用程序的需求越来越多,electron框架的使用方向也越来越广,也有越来越多的应用程序使用electron框架来进行跨平台应用的开发,随之而来暴露的安全问题也越来越多,本文通过一个简单的案例来介绍下electron框架投毒技术。

0x01 electron投毒简介

1.1 什么是electron

Electron 是一个使用 JavaScript、HTML 和 CSS 构建桌面应用的框架。通过将 Chromium 和 Node.js 嵌入到其二进制文件中,Electron 允许你维护一个 JavaScript 代码库并创建可在 Windows、macOS 和 Linux上运行的跨平台应用 - 无需原生开发经验。

1.2 electron投毒技术原理介绍

Electron中,可以使用ASAR格式来打包应用程序,以便在多个平台上运行。ASAR是一种打包和分发Electron应用程序的格式,它可以将应用程序的所有文件和目录打包成一个单独的文件(asar文件),以便于分发和管理,asar文件通常在应用安装目录的resources文件夹下。

Electron投毒是对ASAR解包后在源代码或依赖中植入恶意代码,或者通过调试模式注入代码,以实现恶意操作,通常Electron应用会带有可信的数字签名,植入恶意代码不会破坏签名校验。

接下来将通过一个typeora的案例简单介绍一下electron投毒的基础利用方式。

0x02 案例

2.1 环境准备

1.安装node.js和npmhttps://blog.csdn.net/ZHANGYANG_1109/article/details/1212295812.安装asarnpm install -g asar3.安装typeorahttps://download.typora.io/windows/typora-setup-x64.exe

安装完成后运行asar命令,出现如下画面:

『渗透测试』electron投毒简介

2.2 投毒测试

我们安装好typeoraasar工具后,我们先找到typeora目录下的node_modules.asar文件:

『渗透测试』electron投毒简介
然后我们使用命令asar extract node_modules.asar ./test_typeoraasar包进行解压。
解压完成后的目录如下图所示:
『渗透测试』electron投毒简介
在常用的库中植入恶意代码,这里选择raven库,这个库会在打开typora时加载。
『渗透测试』electron投毒简介

index.js文件中插入恶意代码调用计算器程序:

const { exec } = require('child_process');exec('calc');

然后将文件夹重新进行打包asar pack ./test_typeora node_modules.asar将该asar文件替换源文件,再次打开typeora软件时,程序加载插入恶意代码的模块,即可触发该命令。

『渗透测试』electron投毒简介
也可通过nodejs调用外部程序的方式,打开程序后自动执行隐藏木马,进行持久化操作。
『渗透测试』electron投毒简介
『渗透测试』electron投毒简介

0x03 总结

通过electron投毒的方式,可以极大程度的隐藏恶意代码的存在,进行后渗透阶段的持久化操作,达到隐藏自身的目的。

参考:https://mp.weixin.qq.com/s/W6I4d9p0u4AAue48H8IV5Q

免责声明:本文仅供安全研究与讨论之用,严禁用于非法用途,违者后果自负。

点此亲启

原文始发于微信公众号(宸极实验室):『渗透测试』electron投毒简介

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年1月1日22:41:30
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   『渗透测试』electron投毒简介http://cn-sec.com/archives/3571652.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息