Dom Clobbering
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
É possível gerar variáveis globais dentro do contexto JS com os atributos id
e name
em tags HTML.
Apenas certos elementos podem usar o atributo name para clobber globais, eles são: embed
, form
, iframe
, image
, img
e object
.
Curiosamente, quando você usa um elemento de formulário para clobber uma variável, você obterá o valor toString
do próprio elemento: [object HTMLFormElement]
, mas com âncora o toString
será o href
da âncora. Portanto, se você clobber usando a tag a
, você pode controlar o valor quando é tratado como uma string:
Também é possível substituir um array e atributos de objeto:
Para sobrescrever um 3º atributo (por exemplo, x.y.z), você precisa usar um form
:
Clobbering mais atributos é mais complicado, mas ainda possível, usando iframes:
A tag de estilo é usada para dar tempo suficiente para o iframe renderizar. Sem ela, você encontrará um alerta de undefined.
Para sobrescrever atributos mais profundos, você pode usar iframes com codificação html desta forma:
Se um filtro estiver percorrendo as propriedades de um nó usando algo como document.getElementByID('x').attributes
, você poderia clobber o atributo .attributes
e quebrar o filtro. Outras propriedades do DOM como tagName
, nodeName
ou parentNode
e mais também são clobberáveis.
window.someObject
Em JavaScript, é comum encontrar:
Manipular HTML na página permite substituir someObject
por um nó DOM, potencialmente introduzindo vulnerabilidades de segurança. Por exemplo, você pode substituir someObject
por um elemento âncora apontando para um script malicioso:
Em um código vulnerável como:
Este método explora a fonte do script para executar código indesejado.
Truque: DOMPurify
permite que você use o cid:
protocolo, que não codifica em URL aspas duplas. Isso significa que você pode injetar uma aspa dupla codificada que será decodificada em tempo de execução. Portanto, injetar algo como <a id=defaultAvatar><a id=defaultAvatar name=avatar href="cid:"onerror=alert(1)//">
fará com que a HTML codificada "
seja decodificada em tempo de execução e escape do valor do atributo para criar o evento onerror
.
Outra técnica usa um elemento form
. Certas bibliotecas do lado do cliente inspecionam os atributos de um novo elemento de formulário criado para limpá-los. No entanto, ao adicionar um input
com id=attributes
dentro do formulário, você efetivamente sobrescreve a propriedade de atributos, impedindo que o sanitizador acesse os atributos reais.
Você pode encontrar um exemplo desse tipo de clobbering neste writeup de CTF.
De acordo com a documentação, é possível sobrescrever atributos do objeto documento usando DOM Clobbering:
A interface Document suporta propriedades nomeadas. Os nomes de propriedades suportados de um objeto Document em qualquer momento consistem no seguinte, em ordem de árvore de acordo com o elemento que as contribuiu, ignorando duplicatas posteriores, e com valores de atributos id vindo antes de valores de atributos de nome quando o mesmo elemento contribui com ambos:
- O valor do atributo de conteúdo name para todos os elementos expostos embed, form, iframe, img e expostos object que têm um atributo de conteúdo name não vazio e estão em uma árvore de documento com documento como seu raiz; - O valor do atributo de conteúdo id para todos os elementos expostos object que têm um atributo de conteúdo id não vazio e estão em uma árvore de documento com documento como seu raiz; - O valor do atributo de conteúdo id para todos os elementos img que têm tanto um atributo de conteúdo id não vazio quanto um atributo de conteúdo name não vazio, e estão em uma árvore de documento com documento como seu raiz.
Usando essa técnica, você pode sobrescrever valores comumente usados, como document.cookie
, document.body
, document.children
, e até mesmo métodos na interface Document como document.querySelector
.
Os resultados das chamadas para document.getElementById()
e document.querySelector()
podem ser alterados ao injetar uma tag <html>
ou <body>
com um atributo id idêntico. Veja como isso pode ser feito:
Além disso, ao empregar estilos para ocultar essas tags HTML/body injetadas, a interferência de outro texto no innerText
pode ser evitada, assim aumentando a eficácia do ataque:
Investigações sobre SVG revelaram que uma tag <body>
também pode ser utilizada de forma eficaz:
Para que a tag HTML funcione dentro do SVG em navegadores como Chrome e Firefox, uma tag <foreignobject>
é necessária:
É possível adicionar novas entradas dentro de um formulário apenas especificando o atributo form
dentro de algumas tags. Você pode usar isso para adicionar novos valores dentro de um formulário e até mesmo adicionar um botão para enviá-lo (clickjacking ou abusando de algum código JS .click()
):
Para mais atributos de formulário em botão confira isso.
Heyes, Gareth. JavaScript para hackers: Aprenda a pensar como um hacker.
Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)