Dom Clobbering
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Είναι δυνατόν να δημιουργηθούν παγκόσμιες μεταβλητές μέσα στο JS context με τα χαρακτηριστικά id
και name
σε HTML tags.
Μόνο ορισμένα στοιχεία μπορούν να χρησιμοποιήσουν το name attribute για να κλωνοποιήσουν τα globals, αυτά είναι: embed
, form
, iframe
, image
, img
και object
.
Ενδιαφέρον είναι ότι, όταν χρησιμοποιείτε ένα form element για να κλωνοποιήσετε μια μεταβλητή, θα λάβετε την toString
τιμή του στοιχείου αυτού: [object HTMLFormElement]
αλλά με anchor η toString
θα είναι το href
του anchor. Επομένως, αν κλωνοποιήσετε χρησιμοποιώντας την a
ετικέτα, μπορείτε να ελέγξετε την τιμή όταν θεωρείται ως συμβολοσειρά:
Είναι επίσης δυνατό να καταστραφεί ένας πίνακας και τα χαρακτηριστικά ενός αντικειμένου:
Για να καταστρέψετε ένα 3ο χαρακτηριστικό (π.χ. x.y.z), πρέπει να χρησιμοποιήσετε μια form
:
Clobbering περισσότερα attributes είναι πιο περίπλοκο αλλά ακόμα δυνατό, χρησιμοποιώντας iframes:
Η ετικέτα style χρησιμοποιείται για να δώσει αρκετό χρόνο στο iframe να αποδοθεί. Χωρίς αυτήν, θα βρείτε μια ειδοποίηση undefined.
Για να κλωνοποιήσετε βαθύτερα χαρακτηριστικά, μπορείτε να χρησιμοποιήσετε iframes με κωδικοποίηση html με αυτόν τον τρόπο:
Αν ένα φίλτρο περνάει μέσα από τις ιδιότητες ενός κόμβου χρησιμοποιώντας κάτι όπως document.getElementByID('x').attributes
, θα μπορούσες να καταστρέψεις την ιδιότητα .attributes
και να σπάσεις το φίλτρο. Άλλες ιδιότητες DOM όπως tagName
, nodeName
ή parentNode
και άλλες είναι επίσης καταστρέψιμες.
window.someObject
Στην JavaScript είναι συνηθισμένο να βρίσκεις:
Η χειραγώγηση του HTML στη σελίδα επιτρέπει την αντικατάσταση του someObject
με έναν κόμβο DOM, ενδεχομένως εισάγοντας ευπάθειες ασφαλείας. Για παράδειγμα, μπορείτε να αντικαταστήσετε το someObject
με ένα στοιχείο άγκυρας που δείχνει σε ένα κακόβουλο σενάριο:
Σε έναν ευάλωτο κώδικα όπως:
Αυτή η μέθοδος εκμεταλλεύεται την πηγή του script για να εκτελέσει ανεπιθύμητο κώδικα.
Τέχνασμα: DOMPurify
σας επιτρέπει να χρησιμοποιείτε το cid:
πρωτόκολλο, το οποίο δεν κωδικοποιεί URL διπλά εισαγωγικά. Αυτό σημαίνει ότι μπορείτε να εισάγετε ένα κωδικοποιημένο διπλό εισαγωγικό που θα αποκωδικοποιηθεί κατά την εκτέλεση. Επομένως, η εισαγωγή κάτι όπως <a id=defaultAvatar><a id=defaultAvatar name=avatar href="cid:"onerror=alert(1)//">
θα κάνει το HTML κωδικοποιημένο "
να αποκωδικοποιηθεί κατά την εκτέλεση και να ξεφύγει από την τιμή του χαρακτηριστικού για να δημιουργήσει το onerror
γεγονός.
Μια άλλη τεχνική χρησιμοποιεί ένα form
στοιχείο. Ορισμένες βιβλιοθήκες πελάτη ελέγχουν τα χαρακτηριστικά ενός νεοδημιουργημένου στοιχείου φόρμας για να τα καθαρίσουν. Ωστόσο, προσθέτοντας ένα input
με id=attributes
μέσα στη φόρμα, ουσιαστικά αντικαθιστάτε την ιδιότητα attributes, αποτρέποντας τον καθαριστή από το να έχει πρόσβαση στα πραγματικά χαρακτηριστικά.
Μπορείτε να βρείτε ένα παράδειγμα αυτού του τύπου clobbering σε αυτήν την αναφορά CTF.
Σύμφωνα με την τεκμηρίωση, είναι δυνατόν να αντικαταστήσετε τα χαρακτηριστικά του αντικειμένου εγγράφου χρησιμοποιώντας DOM Clobbering:
Η Διεπαφή Εγγράφου υποστηρίζει ονομαστικές ιδιότητες. Οι υποστηριζόμενες ονομασίες ιδιοτήτων ενός αντικειμένου Εγγράφου σε οποιαδήποτε στιγμή αποτελούνται από τα εξής, σε τάξη δέντρου σύμφωνα με το στοιχείο που τις συνέβαλε, αγνοώντας αργότερα διπλότυπα, και με τιμές από id χαρακτηριστικά να έρχονται πριν από τις τιμές από χαρακτηριστικά name όταν το ίδιο στοιχείο συμβάλλει και στα δύο:
- Η τιμή του χαρακτηριστικού περιεχομένου name για όλα τα εκτεθειμένα embed, form, iframe, img, και εκτεθειμένα object στοιχεία που έχουν ένα μη κενό χαρακτηριστικό περιεχομένου name και είναι σε ένα δέντρο εγγράφου με το έγγραφο ως ρίζα; - Η τιμή του χαρακτηριστικού περιεχομένου id για όλα τα εκτεθειμένα object στοιχεία που έχουν ένα μη κενό χαρακτηριστικό περιεχομένου id και είναι σε ένα δέντρο εγγράφου με το έγγραφο ως ρίζα; - Η τιμή του χαρακτηριστικού περιεχομένου id για όλα τα img στοιχεία που έχουν τόσο ένα μη κενό χαρακτηριστικό περιεχομένου id όσο και ένα μη κενό χαρακτηριστικό περιεχομένου name, και είναι σε ένα δέντρο εγγράφου με το έγγραφο ως ρίζα.
Χρησιμοποιώντας αυτήν την τεχνική μπορείτε να αντικαταστήσετε κοινώς χρησιμοποιούμενες τιμές όπως document.cookie
, document.body
, document.children
, και ακόμη και μεθόδους στη διεπαφή Document όπως document.querySelector
.
Τα αποτελέσματα των κλήσεων σε document.getElementById()
και document.querySelector()
μπορούν να τροποποιηθούν με την εισαγωγή ενός <html>
ή <body>
tag με ταυτόσημο id attribute. Να πώς μπορεί να γίνει:
Επιπλέον, με την εφαρμογή στυλ για την απόκρυψη αυτών των εισαγόμενων HTML/body ετικετών, μπορεί να αποτραπεί η παρεμβολή από άλλο κείμενο στο innerText
, ενισχύοντας έτσι την αποτελεσματικότητα της επίθεσης:
Οι έρευνες σχετικά με το SVG αποκάλυψαν ότι μια ετικέτα <body>
μπορεί επίσης να χρησιμοποιηθεί αποτελεσματικά:
Για να λειτουργήσει η ετικέτα HTML μέσα σε SVG σε προγράμματα περιήγησης όπως το Chrome και το Firefox, είναι απαραίτητη μια ετικέτα <foreignobject>
:
Είναι δυνατόν να προσθέσετε νέες καταχωρίσεις μέσα σε μια φόρμα απλά καθορίζοντας το attribute form
μέσα σε ορισμένα tags. Μπορείτε να το χρησιμοποιήσετε για να προσθέσετε νέες τιμές μέσα σε μια φόρμα και ακόμη και να προσθέσετε ένα νέο κουμπί για να το στείλετε (clickjacking ή εκμετάλλευση κάποιου κώδικα JS .click()
):
Για περισσότερα χαρακτηριστικά φόρμας στο κουμπί ελέγξτε αυτό.
Heyes, Gareth. JavaScript για χάκερ: Μάθε να σκέφτεσαι σαν χάκερ.
Μάθε & εξάσκησε το AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Μάθε & εξάσκησε το GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)