Bypassing SOP with Iframes - 2
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
En la solución para este desafío, @Strellic_ propone un método similar a la sección anterior. Vamos a revisarlo.
En este desafío, el atacante necesita bypassear esto:
Si lo hace, puede enviar un postmessage con contenido HTML que se va a escribir en la página con innerHTML
sin saneamiento (XSS).
La forma de eludir la primera verificación es haciendo que window.calc.contentWindow
sea undefined
y e.source
sea null
:
window.calc.contentWindow
es en realidad document.getElementById("calc")
. Puede sobrescribir document.getElementById
con <img name=getElementById />
(tenga en cuenta que la API de Saneamiento -aquí- no está configurada para proteger contra ataques de sobrescritura de DOM en su estado predeterminado).
Por lo tanto, puede sobrescribir document.getElementById("calc")
con <img name=getElementById /><div id=calc></div>
. Luego, window.calc
será undefined
.
Ahora, necesitamos que e.source
sea undefined
o null
(porque se usa ==
en lugar de ===
, null == undefined
es True
). Obtener esto es "fácil". Si crea un iframe y envía un postMessage desde él y luego elimina inmediatamente el iframe, e.origin
será null
. Verifique el siguiente código
Para eludir la segunda verificación sobre el token, se envía token
con el valor null
y se hace que el valor de window.token
sea undefined
:
Enviar token
en el postMessage con el valor null
es trivial.
window.token
al llamar a la función getCookie
que utiliza document.cookie
. Tenga en cuenta que cualquier acceso a document.cookie
en páginas de origen null
provoca un error. Esto hará que window.token
tenga un valor de undefined
.
La solución final de @terjanq es la siguiente:
Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE)