Abusing Service Workers
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
服务工作者是由浏览器在后台运行的脚本,与任何网页分开,启用不需要网页或用户交互的功能,从而增强离线和后台处理能力。有关服务工作者的详细信息可以在这里找到。通过利用脆弱网页域中的服务工作者,攻击者可以控制受害者与该域内所有页面的交互。
可以在开发者工具的应用程序选项卡中的服务工作者部分检查现有的服务工作者。另一种方法是访问chrome://serviceworker-internals以获取更详细的视图。
推送通知权限直接影响服务工作者与服务器进行通信的能力,而无需直接用户交互。如果权限被拒绝,则限制了服务工作者构成持续威胁的潜力。相反,授予权限会增加安全风险,因为这使得接收和执行潜在漏洞成为可能。
为了利用此漏洞,您需要找到:
一种方法来上传任意 JS 文件到服务器,以及一个XSS 来加载上传的 JS 文件的服务工作者
一个脆弱的 JSONP 请求,您可以操纵输出(使用任意 JS 代码),以及一个XSS来加载带有有效负载的 JSONP,这将加载恶意服务工作者。
在以下示例中,我将展示一个代码来注册一个新的服务工作者,该服务工作者将监听fetch
事件,并将每个获取的 URL 发送到攻击者的服务器(这是您需要上传到服务器或通过脆弱的 JSONP 响应加载的代码):
这是将注册工作者的代码(您应该能够通过利用XSS执行的代码)。在这种情况下,将向攻击者的服务器发送GET请求,通知服务工作者的注册是否成功:
在滥用易受攻击的 JSONP 端点时,您应该将值放入 var sw
中。例如:
有一个专门用于服务工作者利用的C2,叫做Shadow Workers,这将对利用这些漏洞非常有用。
24小时缓存指令限制了恶意或被攻陷的**服务工作者 (SW)**的生命周期,最多为XSS漏洞修复后的24小时,假设在线客户端状态。为了最小化漏洞,网站运营商可以降低SW脚本的生存时间(TTL)。开发者还被建议创建一个服务工作者杀开关以便快速停用。
importScripts
从服务工作者调用的函数**importScripts
可以从不同域导入脚本**。如果使用攻击者可以修改的参数调用此函数,他将能够从他的域导入JS脚本并获得XSS。
这甚至可以绕过CSP保护。
示例易受攻击的代码:
index.html
sw.js
有关 DOM Clobbering 的更多信息,请查看:
Dom Clobbering如果 SW 用于调用 importScripts
的 URL/域名 在一个 HTML 元素内,则 可以通过 DOM Clobbering 修改它,使 SW 从您自己的域加载脚本。
有关此的示例,请查看参考链接。
学习和实践 AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) 学习和实践 GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)