CSS Injection
Last updated
Last updated
Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
CSS selektore is ontwerp om waardes van 'n input
element se name
en value
attribuut te pas. As die input element se waarde attribuut met 'n spesifieke karakter begin, word 'n vooraf gedefinieerde eksterne hulpbron gelaai:
However, this approach faces a limitation when dealing with hidden input elements (type="hidden"
) because hidden elements do not load backgrounds.
Om hierdie beperking te omseil, kan jy 'n daaropvolgende suster-element teiken met behulp van die ~
algemene suster-kombinator. Die CSS-reël geld dan vir alle susters wat volg op die versteekte invoerelement, wat veroorsaak dat die agtergrondbeeld laai:
A practical example of exploiting this technique is detailed in the provided code snippet. You can view it here.
Vir die CSS-inspuitingstegniek om effektief te wees, moet sekere voorwaardes nagekom word:
Payload-lengte: Die CSS-inspuitingsvektor moet voldoende lange payloads ondersteun om die vervaardigde selektore te akkommodeer.
CSS-herwaardering: Jy moet die vermoë hê om die bladsy te raam, wat nodig is om die herwaardering van CSS met nuutgegenereerde payloads te aktiveer.
Buitelandse Hulpbronne: Die tegniek neem aan dat jy die vermoë het om buite-gasheerde beelde te gebruik. Dit mag beperk wees deur die webwerf se Inhoudsekuriteitsbeleid (CSP).
As in hierdie pos verduidelik, is dit moontlik om die selektore :has
en :not
te kombineer om inhoud selfs van blinde elemente te identifiseer. Dit is baie nuttig wanneer jy geen idee het wat binne die webblad is wat die CSS-inspuiting laai.
Dit is ook moontlik om daardie selektore te gebruik om inligting uit verskeie blokke van dieselfde tipe te onttrek soos in:
Combining this with the following @import technique, it's possible to exfiltrate a lot of info using CSS injection from blind pages with blind-css-exfiltration.
Die vorige tegniek het 'n paar nadele, kyk na die vereistes. Jy moet of in staat wees om meervoudige skakels na die slagoffer te stuur, of jy moet in staat wees om die CSS-inspuitings kwesbare bladsy in te sluit.
Daar is egter 'n ander slim tegniek wat CSS @import
gebruik om die kwaliteit van die tegniek te verbeter.
Dit is eerste deur Pepe Vila gewys en dit werk soos volg:
In plaas daarvan om dieselfde bladsy herhaaldelik met tientalle verskillende payloads te laai (soos in die vorige), gaan ons die bladsy net een keer laai en net met 'n invoer na die aanvallers bediener (dit is die payload om na die slagoffer te stuur):
Die invoer gaan 'n paar CSS-skripte van die aanvallers ontvang en die blaaier sal dit laai.
Die eerste deel van die CSS-skrip wat die aanvaller sal stuur is nog 'n @import
na die aanvallers bediener weer.
Die aanvallers bediener sal nog nie op hierdie versoek reageer nie, aangesien ons 'n paar karakters wil lek en dan hierdie invoer met die payload wil beantwoord om die volgende te lek.
Die tweede en groter deel van die payload gaan 'n attribuutkeuse lek payload wees.
Dit sal die eerste karakter van die geheim en die laaste na die aanvallers bediener stuur.
Sodra die aanvallers bediener die eerste en laaste karakter van die geheim ontvang het, sal dit die invoer wat in stap 2 aangevra is, beantwoord.
Die antwoord gaan presies dieselfde wees as die stappe 2, 3 en 4, maar hierdie keer sal dit probeer om die tweede karakter van die geheim en dan die voorlaaste te vind.
Die aanvaller sal daardie lus volg totdat dit daarin slaag om die geheim heeltemal te lek.
Jy kan die oorspronklike Pepe Vila se kode om dit hier te benut vind of jy kan amper die dieselfde kode maar kommentaar hier. vind.
Die skrip sal probeer om 2 karakters elke keer te ontdek (van die begin en van die einde) omdat die attribuutkeuse dinge soos dit toelaat:
Dit laat die skrip toe om die geheim vinniger te lek.
Soms detecteer die skrip nie korrek dat die voorvoegsel + agtervoegsel wat ontdek is, reeds die volledige vlag is nie en dit sal voortgaan (in die voorvoegsel) en agtertoe (in die agtervoegsel) en op 'n sekere punt sal dit vassteek. Moet nie bekommerd wees nie, kyk net na die uitset want jy kan die vlag daar sien.
Ander maniere om toegang tot DOM dele te verkry met CSS selektore:
.class-to-search:nth-child(2)
: Dit sal die tweede item met die klas "class-to-search" in die DOM soek.
:empty
selektor: Gebruike byvoorbeeld in hierdie skrywe:
Verwysing: CSS gebaseerde Aanval: Misbruik van unicode-range van @font-face , Foutgebaseerde XS-Search PoC deur @terjanq
Die algehele bedoeling is om 'n pasgemaakte lettertipe van 'n beheerde eindpunt te gebruik en te verseker dat teks (in hierdie geval, 'A') slegs met hierdie lettertipe vertoon word as die gespesifiseerde hulpbron (favicon.ico
) nie gelaai kan word nie.
Pasgemaakte Lettertipe Gebruik:
'n Pasgemaakte lettertipe word gedefinieer met die @font-face
reël binne 'n <style>
etiket in die <head>
afdeling.
Die lettertipe word poc
genoem en word van 'n eksterne eindpunt (http://attacker.com/?leak
) afgelaai.
Die unicode-range
eienskap is gestel op U+0041
, wat die spesifieke Unicode karakter 'A' teiken.
Objek Element met Terugvalteks:
'n <object>
element met id="poc0"
word geskep in die <body>
afdeling. Hierdie element probeer om 'n hulpbron van http://192.168.0.1/favicon.ico
te laai.
Die font-family
vir hierdie element is gestel op 'poc'
, soos gedefinieer in die <style>
afdeling.
As die hulpbron (favicon.ico
) nie kan laai nie, word die terugvalinhoud (die letter 'A') binne die <object>
etiket vertoon.
Die terugvalinhoud ('A') sal met die pasgemaakte lettertipe poc
gerender word as die eksterne hulpbron nie gelaai kan word nie.
Die :target
pseudo-klas word gebruik om 'n element te kies wat geteiken word deur 'n URL fragment, soos gespesifiseer in die CSS Selectors Level 4 spesifikasie. Dit is belangrik om te verstaan dat ::target-text
nie enige elemente pas nie tensy die teks eksplisiet deur die fragment geteiken word.
'n Sekuriteitskwessie ontstaan wanneer aanvallers die Scroll-to-tekst fragment kenmerk misbruik, wat hulle in staat stel om die teenwoordigheid van spesifieke teks op 'n webblad te bevestig deur 'n hulpbron van hul bediener deur HTML-inspuiting te laai. Die metode behels die inspuiting van 'n CSS-reël soos hierdie:
In sulke scenario's, as die teks "Administrator" op die bladsy teenwoordig is, word die hulpbron target.png
van die bediener aangevra, wat die teenwoordigheid van die teks aandui. 'n Voorbeeld van hierdie aanval kan uitgevoer word deur 'n spesiaal saamgestelde URL wat die ingeslote CSS saam met 'n Scroll-to-text fragment inkorporeer:
Hier manipuleer die aanval HTML-inspuiting om die CSS-kode oor te dra, met die doel om die spesifieke teks "Administrator" te teiken deur die Scroll-to-text fragment (#:~:text=Administrator
). As die teks gevind word, word die aangeduide hulpbron gelaai, wat onbedoeld sy teenwoordigheid aan die aanvaller aandui.
Vir versagting moet die volgende punte in ag geneem word:
Beperkte STTF-ooreenstemming: Scroll-to-text Fragment (STTF) is ontwerp om slegs woorde of sinne te ooreen te stem, wat sy vermoë om willekeurige geheime of tokens te lek, beperk.
Beperking tot Top-niveau Bladsykontekste: STTF werk slegs in top-niveau bladsykontekste en funksioneer nie binne iframes nie, wat enige poging tot uitbuiting meer opmerklik vir die gebruiker maak.
Noodsaaklikheid van Gebruikeraktivering: STTF vereis 'n gebruiker-aktiveringsgebaar om te werk, wat beteken dat uitbuitings slegs deur gebruiker-geïnisieerde navigasies moontlik is. Hierdie vereiste verminder aansienlik die risiko dat aanvalle geoutomatiseer word sonder gebruikersinteraksie. Nietemin, die blogpos se skrywer wys op spesifieke toestande en omseilings (bv. sosiale ingenieurswese, interaksie met algemene blaaierspesies) wat die outomatisering van die aanval kan vergemaklik.
Bewustheid van hierdie meganismes en potensiële kwesbaarhede is sleutels tot die handhawing van websekuriteit en die beskerming teen sulke uitbuitings taktieke.
Vir meer inligting, kyk na die oorspronklike verslag: https://www.secforce.com/blog/new-technique-of-stealing-data-using-css-and-scroll-to-text-fragment-feature/
Jy kan 'n uitbuiting wat hierdie tegniek vir 'n CTF gebruik hier kyk.
Jy kan eksterne lettertipes vir spesifieke unicode waardes spesifiseer wat slegs versamel sal word as daardie unicode waardes in die bladsy teenwoordig is. Byvoorbeeld:
When you access this page, Chrome en Firefox haal "?A" en "?B" op omdat die teksnode van sensitiewe-inligting "A" en "B" karakters bevat. Maar Chrome en Firefox haal nie "?C" op nie omdat dit nie "C" bevat nie. Dit beteken dat ons in staat was om "A" en "B" te lees.
Reference: Wykradanie danych w świetnym stylu – czyli jak wykorzystać CSS-y do ataków na webaplikację
Die tegniek wat beskryf word, behels die onttrekking van teks uit 'n node deur font ligatures te benut en veranderinge in breedte te monitor. Die proses behels verskeie stappe:
Creation of Custom Fonts:
SVG fonts word gemaak met glyphs wat 'n horiz-adv-x
attribuut het, wat 'n groot breedte vir 'n glyph wat 'n twee-karakter volgorde verteenwoordig, stel.
Voorbeeld SVG glyph: <glyph unicode="XY" horiz-adv-x="8000" d="M1 0z"/>
, waar "XY" 'n twee-karakter volgorde aandui.
Hierdie fonts word dan na woff-formaat omgeskakel met fontforge.
Detection of Width Changes:
CSS word gebruik om te verseker dat teks nie wrap nie (white-space: nowrap
) en om die scrollbar styl aan te pas.
Die verskyning van 'n horisontale scrollbar, wat duidelik gestileer is, dien as 'n aanduiding (oracle) dat 'n spesifieke ligature, en dus 'n spesifieke karakter volgorde, in die teks teenwoordig is.
Die CSS wat betrokke is:
Exploit Process:
Step 1: Fonts word geskep vir pare van karakters met substansiële breedte.
Step 2: 'n Scrollbar-gebaseerde truuk word gebruik om te detecteer wanneer die groot breedte glyph (ligature vir 'n karakter paar) gerender word, wat die teenwoordigheid van die karakter volgorde aandui.
Step 3: By die opsporing van 'n ligature, word nuwe glyphs wat drie-karakter volgordes verteenwoordig, gegenereer, wat die opgespoorde paar insluit en 'n voorafgaande of opvolgende karakter byvoeg.
Step 4: Opsporing van die drie-karakter ligature word uitgevoer.
Step 5: Die proses herhaal, wat progressief die hele teks onthul.
Optimization:
Die huidige inisialisasiemetode wat <meta refresh=...
gebruik, is nie optimaal nie.
'n Meer doeltreffende benadering kan die CSS @import
truuk insluit, wat die prestasie van die exploit verbeter.
Reference: PoC using Comic Sans by @Cgvwzq & @Terjanq
Hierdie truuk is vrygestel in hierdie Slackers thread. Die charset wat in 'n teksnode gebruik word, kan gelek word met die standaard fonts wat in die blaaier geïnstalleer is: geen eksterne -of pasgemaakte- fonts is nodig nie.
Die konsep draai om die gebruik van 'n animasie om 'n div
se breedte geleidelik uit te brei, wat een karakter op 'n slag toelaat om van die 'suffix' deel van die teks na die 'prefix' deel oor te gaan. Hierdie proses verdeel die teks effektief in twee afdelings:
Prefix: Die aanvanklike lyn.
Suffix: Die daaropvolgende lyn(e).
Die oorgangstadia van die karakters sou soos volg verskyn:
C ADB
CA DB
CAD B
CADB
Tydens hierdie oorgang word die unicode-range truuk gebruik om elke nuwe karakter te identifiseer soos dit by die prefix aansluit. Dit word bereik deur die font na Comic Sans te verander, wat merkbaar hoër is as die standaard font, wat gevolglik 'n vertikale scrollbar aktiveer. Die verskyning van hierdie scrollbar onthul indirek die teenwoordigheid van 'n nuwe karakter in die prefix.
Alhoewel hierdie metode die opsporing van unieke karakters toelaat soos hulle verskyn, spesifiseer dit nie watter karakter herhaal word nie, net dat 'n herhaling plaasgevind het.
Basies, die unicode-range is gebruik om 'n char te detecteer, maar aangesien ons nie 'n eksterne font wil laai nie, moet ons 'n ander manier vind. Wanneer die char gevind word, word dit die vooraf geïnstalleerde Comic Sans font gegee, wat die char groter maak en 'n scroll bar aktiveer wat die gevonde char sal lek.
Check the code extracted from the PoC:
Verwysing: Dit word genoem as ‘n onsuksesvolle oplossing in hierdie skrywe
Hierdie geval is baie soortgelyk aan die vorige, egter, in hierdie geval is die doel om spesifieke karakters groter as ander te maak om iets soos 'n knoppie te verberg sodat dit nie deur die bot gedruk word nie of 'n beeld wat nie gelaai sal word nie. So ons kan die aksie (of die gebrek aan aksie) meet en weet of 'n spesifieke karakter teenwoordig is binne die teks.
Verwysing: Dit word genoem as ‘n onsuksesvolle oplossing in hierdie skrywe
In hierdie geval kan ons probeer om te lek of 'n karakter in die teks is deur 'n vals lettertipe van dieselfde oorsprong te laai:
As daar 'n ooreenkoms is, sal die font gelaai word vanaf /static/bootstrap.min.css?q=1
. Alhoewel dit nie suksesvol gelaai sal word nie, behoort die blaaier dit te kas en selfs al is daar geen kas nie, is daar 'n 304 not modified meganisme, so die antwoord behoort vinniger te wees as ander dinge.
As die tydsverskil van die gekaste antwoord van die nie-gekas een nie groot genoeg is nie, sal dit nie nuttig wees nie. Byvoorbeeld, die outeur het genoem: egter, na toetsing, het ek gevind dat die eerste probleem is dat die spoed nie veel verskil nie, en die tweede probleem is dat die bot die disk-cache-size=1
vlag gebruik, wat regtig deurdagte is.
Verwysing: Dit word genoem as ‘n onsuksesvolle oplossing in hierdie skrywe
In hierdie geval kan jy CSS aandui om honderde vals fonts van dieselfde oorsprong te laai wanneer 'n ooreenkoms plaasvind. Op hierdie manier kan jy die tyd meet wat dit neem en uitvind of 'n karakter verskyn of nie met iets soos:
En die kode van die bot lyk soos volg:
So, as die lettertipe nie ooreenstem nie, word die reaksietyd wanneer jy die bot besoek, verwag om ongeveer 30 sekondes te wees. As daar egter 'n lettertipe ooreenstemming is, sal verskeie versoeke gestuur word om die lettertipe te verkry, wat die netwerk sal laat voortgaan met aktiwiteit. As gevolg hiervan sal dit langer neem om die stopvoorwaarde te bevredig en die reaksie te ontvang. Daarom kan die reaksietyd as 'n aanduiding gebruik word om te bepaal of daar 'n lettertipe ooreenstemming is.
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)