SOME - Same Origin Method Execution

Apprenez le piratage AWS de zéro à héros avec htARTE (Expert Red Team AWS de HackTricks)!

Travaillez-vous dans une entreprise de cybersécurité? Voulez-vous voir votre entreprise annoncée dans HackTricks? ou voulez-vous avoir accès à la dernière version du PEASS ou télécharger HackTricks en PDF? Consultez les PLANS D'ABONNEMENT!
Découvrez La famille PEASS, notre collection exclusive de NFTs
Obtenez le swag officiel PEASS & HackTricks
Rejoignez le 💬 groupe Discord ou le groupe Telegram ou suivez moi sur Twitter 🐦@carlospolopm.
Partagez vos astuces de piratage en soumettant des PR aux repo hacktricks et repo hacktricks-cloud.

Exécution de la méthode Same Origin

Il y aura des occasions où vous pourrez exécuter un peu de javascript limité sur une page. Par exemple, dans le cas où vous pouvez contrôler une valeur de rappel qui sera exécutée.

Dans ces cas, l'une des meilleures choses que vous pourriez faire est d'accéder au DOM pour appeler n'importe quelle action sensible que vous pouvez trouver (comme cliquer sur un bouton). Cependant, vous trouverez généralement cette vulnérabilité dans de petits points de terminaison sans rien d'intéressant dans le DOM.

Dans ces scénarios, cette attaque sera très utile, car son but est de pouvoir abuser de l'exécution JS limitée à l'intérieur d'un DOM à partir d'une page différente du même domaine avec des actions beaucoup plus intéressantes.

Essentiellement, le flux de l'attaque est le suivant :

Trouver un rappel que vous pouvez abuser (potentiellement limité à [\w\._]).
S'il n'est pas limité et que vous pouvez exécuter n'importe quel JS, vous pourriez simplement abuser de cela comme un XSS régulier.
Faites ouvrir une page contrôlée par l'attaquant à la victime.
La page s'ouvrira dans une fenêtre différente (la nouvelle fenêtre aura l'objet opener faisant référence à la première).
La page initiale chargera la page où se trouve le DOM intéressant.
La deuxième page chargera la page vulnérable en abusant du rappel et en utilisant l'objet opener pour accéder et exécuter une action dans la page initiale (qui contient maintenant le DOM intéressant).

Notez que même si la page initiale accède à une nouvelle URL après avoir créé la deuxième page, l'objet opener de la deuxième page est toujours une référence valide à la première page dans le nouveau DOM.

De plus, pour que la deuxième page puisse utiliser l'objet opener, les deux pages doivent être dans la même origine. C'est la raison pour laquelle, pour exploiter cette vulnérabilité, vous devez trouver une sorte de XSS dans la même origine.

Exploitation

Vous pouvez utiliser ce formulaire pour générer un PoC pour exploiter ce type de vulnérabilité : https://www.someattack.com/Playground/SOMEGenerator
Pour trouver un chemin DOM vers un élément HTML avec un clic, vous pouvez utiliser cette extension de navigateur : https://www.someattack.com/Playground/targeting_tool

Exemple

Vous pouvez trouver un exemple vulnérable sur https://www.someattack.com/Playground/
Notez que dans cet exemple, le serveur génère du code javascript et l'ajoute au HTML en fonction du contenu du paramètre de rappel: <script>opener.{callbacl_content}</script> . C'est pourquoi dans cet exemple, vous n'avez pas besoin d'indiquer explicitement l'utilisation de opener.
Consultez également ce write-up CTF : https://ctftime.org/writeup/36068

Références

https://conference.hitb.org/hitbsecconf2017ams/sessions/everybody-wants-some-advance-same-origin-method-execution/

PreviousShadow DOM NextSniff Leak

Last updated 9 months ago