SOME - Same Origin Method Execution

Apprenez le piratage AWS de zéro à héros avec htARTE (Expert Red Team AWS de HackTricks)!

Exécution de la méthode Same Origin

Il y aura des occasions où vous pourrez exécuter un peu de javascript limité sur une page. Par exemple, dans le cas où vous pouvez contrôler une valeur de rappel qui sera exécutée.

Dans ces cas, l'une des meilleures choses que vous pourriez faire est d'accéder au DOM pour appeler n'importe quelle action sensible que vous pouvez trouver (comme cliquer sur un bouton). Cependant, vous trouverez généralement cette vulnérabilité dans de petits points de terminaison sans rien d'intéressant dans le DOM.

Dans ces scénarios, cette attaque sera très utile, car son but est de pouvoir abuser de l'exécution JS limitée à l'intérieur d'un DOM à partir d'une page différente du même domaine avec des actions beaucoup plus intéressantes.

Essentiellement, le flux de l'attaque est le suivant :

  • Trouver un rappel que vous pouvez abuser (potentiellement limité à [\w\._]).

  • S'il n'est pas limité et que vous pouvez exécuter n'importe quel JS, vous pourriez simplement abuser de cela comme un XSS régulier.

  • Faites ouvrir une page contrôlée par l'attaquant à la victime.

  • La page s'ouvrira dans une fenêtre différente (la nouvelle fenêtre aura l'objet opener faisant référence à la première).

  • La page initiale chargera la page où se trouve le DOM intéressant.

  • La deuxième page chargera la page vulnérable en abusant du rappel et en utilisant l'objet opener pour accéder et exécuter une action dans la page initiale (qui contient maintenant le DOM intéressant).

Notez que même si la page initiale accède à une nouvelle URL après avoir créé la deuxième page, l'objet opener de la deuxième page est toujours une référence valide à la première page dans le nouveau DOM.

De plus, pour que la deuxième page puisse utiliser l'objet opener, les deux pages doivent être dans la même origine. C'est la raison pour laquelle, pour exploiter cette vulnérabilité, vous devez trouver une sorte de XSS dans la même origine.

Exploitation

Exemple

  • Vous pouvez trouver un exemple vulnérable sur https://www.someattack.com/Playground/

  • Notez que dans cet exemple, le serveur génère du code javascript et l'ajoute au HTML en fonction du contenu du paramètre de rappel: <script>opener.{callbacl_content}</script> . C'est pourquoi dans cet exemple, vous n'avez pas besoin d'indiquer explicitement l'utilisation de opener.

  • Consultez également ce write-up CTF : https://ctftime.org/writeup/36068

Références

Last updated