Client Side Prototype Pollution
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Τα εργαλεία https://github.com/dwisiswant0/ppfuzz, https://github.com/kleiton0x00/ppmap και https://github.com/kosmosec/proto-find μπορούν να χρησιμοποιηθούν για να βρουν ευπάθειες από ρύθμιση πρωτοτύπου.
Επιπλέον, μπορείτε επίσης να χρησιμοποιήσετε την επέκταση του προγράμματος περιήγησης PPScan για να σαρώσετε αυτόματα τις σελίδες που πρόσβαση για ευπάθειες από ρύθμιση πρωτοτύπου.
Μόλις εντοπιστεί μια ευπάθεια prototype pollution από οποιοδήποτε από τα εργαλεία, και αν ο κώδικας δεν είναι υπερβολικά περίπλοκος, μπορείς να βρεις την ευπάθεια αναζητώντας λέξεις-κλειδιά όπως location.hash
, decodeURIComponent
, ή location.search
στα Chrome Developer Tools. Αυτή η προσέγγιση σου επιτρέπει να εντοπίσεις την ευάλωτη ενότητα του κώδικα JavaScript.
Για μεγαλύτερες και πιο περίπλοκες βάσεις κώδικα, μια απλή μέθοδος για να ανακαλύψεις τον ευάλωτο κώδικα περιλαμβάνει τα εξής βήματα:
Χρησιμοποίησε ένα εργαλείο για να εντοπίσεις μια ευπάθεια και να αποκτήσεις ένα payload σχεδιασμένο να ορίσει μια ιδιότητα στον κατασκευαστή. Ένα παράδειγμα που παρέχεται από το ppmap μπορεί να μοιάζει με: constructor[prototype][ppmap]=reserved
.
Ορίστε ένα breakpoint στην πρώτη γραμμή του κώδικα JavaScript που θα εκτελεστεί στη σελίδα. Ανανεώστε τη σελίδα με το payload, παγώνοντας την εκτέλεση σε αυτό το breakpoint.
Ενώ η εκτέλεση του JavaScript είναι παγωμένη, εκτέλεσε το παρακάτω script στην κονσόλα JS. Αυτό το script θα σήμανε πότε δημιουργείται η ιδιότητα 'ppmap', βοηθώντας στην τοποθέτηση της προέλευσής της:
Πλοηγηθείτε πίσω στην καρτέλα Sources και επιλέξτε “Resume script execution”. Το JavaScript θα συνεχίσει να εκτελείται και η ιδιότητα 'ppmap' θα μολυνθεί όπως αναμενόταν. Η χρήση του παρεχόμενου αποσπάσματος διευκολύνει την αναγνώριση της ακριβούς τοποθεσίας όπου μολύνεται η ιδιότητα 'ppmap'. Εξετάζοντας το Call Stack, μπορούν να παρατηρηθούν διαφορετικά στοίβες όπου συνέβη η μόλυνση.
Όταν αποφασίζετε ποια στοίβα να ερευνήσετε, είναι συχνά χρήσιμο να στοχεύετε σε στοίβες που σχετίζονται με αρχεία βιβλιοθηκών JavaScript, καθώς η μόλυνση πρωτοτύπων συμβαίνει συχνά μέσα σε αυτές τις βιβλιοθήκες. Εντοπίστε τη σχετική στοίβα εξετάζοντας τη σύνδεσή της με αρχεία βιβλιοθηκών (ορατά στη δεξιά πλευρά, παρόμοια με μια εικόνα που παρέχεται για καθοδήγηση). Σε σενάρια με πολλές στοίβες, όπως αυτές στις γραμμές 4 και 6, η λογική επιλογή είναι η στοίβα στη γραμμή 4, καθώς αντιπροσωπεύει την αρχική εμφάνιση της μόλυνσης και επομένως την ρίζα της ευπάθειας. Κάνοντας κλικ στη στοίβα θα σας κατευθύνει στον ευάλωτο κώδικα.
Το gadget είναι ο κώδικας που θα κακοποιηθεί μόλις ανακαλυφθεί μια ευπάθεια PP.
Εάν η εφαρμογή είναι απλή, μπορούμε να αναζητήσουμε λέξεις-κλειδιά όπως srcdoc/innerHTML/iframe/createElement
και να ελέγξουμε τον πηγαίο κώδικα και να δούμε αν οδηγεί σε εκτέλεση javascript. Μερικές φορές, οι αναφερόμενες τεχνικές μπορεί να μην βρουν καθόλου gadgets. Σε αυτή την περίπτωση, η καθαρή ανασκόπηση του πηγαίου κώδικα αποκαλύπτει μερικά ωραία gadgets όπως το παρακάτω παράδειγμα.
Ελέγξτε αυτή τη γραφή: https://blog.huli.tw/2022/05/02/en/intigriti-revenge-challenge-author-writeup/
Αυτή η έρευνα δείχνει gadgets PP που χρησιμοποιούνται για να παρακάμψουν τις απολυμάνσεις που παρέχονται από ορισμένες βιβλιοθήκες HTML sanitizers:
sanitize-html
dompurify
Closure
Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)