CSS Injection
Try Hard Security Group
CSS Injection
विशेषता चयनकर्ता
CSS चयनकर्ता input
तत्व के name
और value
विशेषताओं के मानों को मिलान करने के लिए बनाए गए हैं। अगर इनपुट तत्व की मान विशेषता एक विशिष्ट वर्ण से शुरू होती है, तो एक पूर्वनिर्धारित बाह्य संसाधन लोड होता है:
छिपे हुए तत्वों के लिए बायपास
इस सीमा को दूर करने के लिए, आप ~
सामान्य सहभाई संयोजक का उपयोग करके एक आगामी सहभाई तत्व को लक्षित कर सकते हैं। फिर CSS नियम छिपे हुए इनपुट तत्व के बाद के सभी सहभाई पर लागू होता है, जिससे बैकग्राउंड छवि लोड होती है:
इस तकनीक को शातिरता से उपयोग करने का एक व्यावहारिक उदाहरण प्रदान किया गया है। आप इसे यहाँ देख सकते हैं।
CSS Injection के लिए पूर्व-आवश्यकताएं
CSS Injection तकनीक को सफल बनाने के लिए कुछ शर्तें पूरी होनी चाहिए:
पेयलोड लंबाई: CSS इन्जेक्शन वेक्टर को तैयार किए गए सेलेक्टर को समायोजित करने के लिए पर्याप्त लंबाई का समर्थन करना चाहिए।
CSS पुनर्मूल्यांकन: आपको पृष्ठ को फ्रेम करने की क्षमता होनी चाहिए, जो नए जनरेटेड पेयलोड के साथ CSS का पुनर्मूल्यांकन ट्रिगर करने के लिए आवश्यक है।
बाह्य संसाधन: यह तकनीक बाह्य रूप से होस्ट की गई छवियों का उपयोग करने की क्षमता का अनुमान लगाती है। यह साइट की सामग्री सुरक्षा नीति (CSP) द्वारा प्रतिबंधित हो सकता है।
अंधा विशेषता चयनकर्ता
जैसा कि इस पोस्ट में स्पष्ट किया गया है, सेलेक्टर :has
और :not
को मिलाकर उपयोग करके अंधे तत्वों से भी सामग्री की पहचान करना संभव है। यह बहुत उपयोगी है जब आपको नहीं पता कि CSS इन्जेक्शन को लोड करने वाले वेब पेज में क्या है।
यह भी संभव है कि आप उन सेलेक्टर का उपयोग करके एक ही प्रकार के कई ब्लॉक से जानकारी निकालें।
इसे निम्नलिखित @import तकनीक के साथ मिलाकर, ब्लाइंड पेज से CSS इन्जेक्शन का उपयोग करके बहुत सारी जानकारी को बाहर निकालना संभव है blind-css-exfiltration।
@import
पिछली तकनीक में कुछ दुष्प्रभाव हैं, प्राथमिक आवश्यकताओं की जांच करें। आपको या तो विक्टिम को कई लिंक भेजने की क्षमता होनी चाहिए, या फिर आपको CSS इन्जेक्शन वलनरेबल पेज को आईफ्रेम करने की क्षमता होनी चाहिए।
हालांकि, एक और चतुर तकनीक है जो CSS @import
का उपयोग करती है तकनीक की गुणवत्ता को बेहतर बनाने के लिए।
यह पहली बार Pepe Vila द्वारा दिखाया गया था और यह इस प्रकार काम करता है:
दस्तावेज को एक बार और फिर से और फिर से लोड करने की आवश्यकता नहीं है (पिछले तकनीक में), हम केवल एक बार पेज को लोड करेंगे और केवल एक आयात के साथ हमले करने वाले सर्वर को लोड करेंगे (यह विक्टिम को भेजने के लिए पेलोड है):
आक्रमक से कुछ CSS स्क्रिप्ट प्राप्त करेगा और ब्राउज़र इसे लोड करेगा।
हमलावर भेजेगा CSS स्क्रिप्ट का पहला हिस्सा फिर से अपने सर्वर पर
@import
।हमलावर का सर्वर इस अनुरोध का जवाब अभी नहीं देगा, क्योंकि हमें कुछ वर्ण लीक करना है और फिर इस आयात का जवाब देना है ताकि अगले वर्ण लीक हो सकें।
पेलोड का दूसरा और बड़ा हिस्सा एक विशेषता चयनकर्ता लीक पेलोड होगा।
यह हमलावर के सर्वर पर गुप्त सूची का पहला और अंतिम वर्ण भेजेगा।
जब हमलावर के सर्वर ने गुप्त सूची का पहला और अंतिम वर्ण प्राप्त किया है, तो यह चरण 2 में अनुरोधित आयात का जवाब देगा।
जवाब चरण 2, 3 और 4 के तरह होगा, लेकिन इस बार यह गुप्त सूची का दूसरा वर्ण खोजने की कोशिश करेगा और फिर द्वितीय अंतिम।
हमलावर गुप्त सूची को पूरी तरह से लीक करने तक इस लूप का पालन करेगा।
आप यहाँ Pepe Vila's code to exploit this here प्राप्त कर सकते हैं या आप यहाँ लगभग वही कोड लेकिन टिप्पणित यहाँ प्राप्त कर सकते हैं।
स्क्रिप्ट प्रारंभ से 2 वर्ण खोजने का प्रयास करेगा (शुरुआत और अंत से) क्योंकि विशेषता चयनकर्ता कुछ इस प्रकार की चीजें करने की अनुमति देता है:
यह स्क्रिप्ट को गुप्त सूचना तेजी से लीक करने की अनुमति देता है।
कभी-कभी स्क्रिप्ट सही ढंग से नहीं पता लगाता कि प्रीफिक्स + सफिक्स जो पहले से ही पूर्ण ध्वज हैं और यह आगे बढ़ेगा (प्रीफिक्स में) और पीछे जाएगा (सफिक्स में) और किसी समय यह रुक जाएगा। चिंता न करें, बस आउटपुट की जांच करें क्योंकि आप वहां ध्वज देख सकते हैं।
अन्य सेलेक्टर
CSS सेलेक्टर के साथ DOM भागों तक पहुंचने के अन्य तरीके:
.class-to-search:nth-child(2)
: यह DOM में "class-to-search" के साथ दूसरे आइटम की खोज करेगा।:empty
सेलेक्टर: उदाहरण के लिए इस व्रिटअप** में उपयोग किया गया है:**
त्रुटि आधारित XS-Search
संदर्भ: CSS based Attack: Abusing unicode-range of @font-face , Error-Based XS-Search PoC by @terjanq
समग्र उद्देश्य है नियंत्रित अंत से एक कस्टम फॉन्ट का उपयोग करना और सुनिश्चित करना कि पाठ (इस मामले में, 'A') केवल इस फॉन्ट के साथ प्रदर्शित होता है अगर निर्दिष्ट संसाधन (favicon.ico
) लोड नहीं हो सकता।
कस्टम फ़ॉन्ट का उपयोग:
एक कस्टम फ़ॉन्ट को
<head>
खंड में<style>
टैग का उपयोग करके@font-face
नियम का प्रयोग करके परिभाषित किया जाता है।फ़ॉन्ट का नाम
poc
है और यह एक बाह्य अंतर्दृष्टि से (http://attacker.com/?leak
) प्राप्त किया जाता है।unicode-range
गुणसूत्र कोU+0041
पर सेट किया गया है, जो विशिष्ट यूनिकोड वर्ण 'A' को लक्षित करता है।
फॉलबैक पाठ के साथ ऑब्जेक्ट तत्व:
<body>
खंड मेंid="poc0"
के साथ एक<object>
तत्व बनाया गया है। यह तत्वhttp://192.168.0.1/favicon.ico
से संसाधन लोड करने का प्रयास करता है।इस तत्व के लिए
font-family
को<style>
खंड में परिभाषितpoc
पर सेट किया गया है।यदि संसाधन (
favicon.ico
) लोड करने में विफल हो जाता है, तो<object>
टैग के अंदर फॉलबैक सामग्री (अक्षर 'A') प्रदर्शित की जाएगी।यदि बाह्य संसाधन लोड नहीं हो सकता है, तो फॉलबैक सामग्री ('A') को कस्टम फ़ॉन्ट
poc
का उपयोग करके प्रस्तुत किया जाएगा।
स्टाइलिंग स्क्रॉल-टू-टेक्स्ट फ्रैगमेंट
:target
प्सेडो-क्लास का उपयोग एक URL फ्रेगमेंट द्वारा लक्षित एक तत्व का चयन करने के लिए किया जाता है, जैसा कि CSS Selectors Level 4 specification में निर्दिष्ट किया गया है। यह महत्वपूर्ण है कि ::target-text
किसी भी तत्व के साथ मेल नहीं खाता है जब तक पाठ को फ्रेगमेंट द्वारा स्पष्ट रूप से लक्षित नहीं किया जाता है।
एक सुरक्षा संबंधित चिंता उत्पन्न होती है जब हमलावर स्क्रॉल-टू-टेक्स्ट फ्रेगमेंट सुविधा का शोध करते हैं, जिससे उन्हें HTML इन्जेक्शन के माध्यम से अपने सर्वर से संसाधन लोड करने की अनुमति मिलती है। इस विधि में एक CSS नियम डालना शामिल है जैसे:
इस तरह की स्थितियों में, यदि पृष्ठ पर "प्रशासक" टेक्स्ट मौजूद है, तो सर्वर से target.png
संसाधित होता है, जिससे पाठ की मौजूदगी का संकेत मिलता है। इस हमले का एक उदाहरण एक विशेष रूप से तैयार किए गए URL के माध्यम से उत्पन्न किया जा सकता है जिसमें इंजेक्टेड CSS को Scroll-to-text फ्रेगमेंट के साथ समाहित किया गया है:
यहाँ, हमला HTML इन्जेक्शन को मानिपुरित करता है ताकि CSS कोड को ट्रांसमिट किया जा सके, विशेष पाठ "प्रशासक" की ओर लक्षित करते हुए Scroll-to-text फ्रेगमेंट (#:~:text=Administrator
)। यदि पाठ मिल जाता है, तो सूचित संसाधन लोड होता है, जिससे अपराधी को उसकी मौजूदगी का संकेत मिलता है।
संशोधन के लिए, निम्नलिखित बिंदुओं का ध्यान दिया जाना चाहिए:
प्रतिबंधित STTF मैचिंग: Scroll-to-text Fragment (STTF) केवल शब्द या वाक्यों के मिलान के लिए डिज़ाइन किया गया है, इसलिए इसकी क्षमता कोई भी अनियमित रहस्य या टोकन लीक करने को सीमित करती है।
शीर्ष-स्तरीय ब्राउज़िंग संदर्भों की प्रतिबंधितता: STTF केवल शीर्ष-स्तरीय ब्राउज़िंग संदर्भों में काम करता है और यह आईफ्रेम्स के भीतर कार्य नहीं करता, जिससे किसी भी शोषण प्रयास को उपयोगकर्ता के लिए अधिक नोटिस किया जा सकता है।
उपयोगकर्ता सक्रियकरण की आवश्यकता: STTF को काम करने के लिए उपयोगकर्ता सक्रियकरण इशारा करने की आवश्यकता होती है, जिसका मतलब है कि उपयोगकर्ता प्रेरित नेविगेशन के माध्यम से ही उपयोग करने योग्य हैं। यह आवश्यकता हमें अपराधों के ऑटोमेटेड होने की जोखिम को काफी कम करती है बिना उपयोगकर्ता इंटरेक्शन के। फिर भी, ब्लॉग पोस्ट के लेखक ने विशेष स्थितियों और बायपास (जैसे, सोशल इंजीनियरिंग, प्रसारी ब्राउज़र एक्सटेंशन के साथ इंटरेक्शन) को उधारने की संकेत किए हैं जो हमले की ऑटोमेशन को आसान बना सकते हैं।
इन तंत्रों और संभावित भेदभावों के जागरूकता वेब सुरक्षा को बनाए रखने और इस तरह के शोषणात्मक तकनीकों के खिलाफ सुरक्षित रखने के लिए महत्वपूर्ण है।
अधिक जानकारी के लिए मूल रिपोर्ट देखें: https://www.secforce.com/blog/new-technique-of-stealing-data-using-css-and-scroll-to-text-fragment-feature/
आप एक CTF के लिए इस तकनीक का उपयोग करने वाला एक उत्पीड़न यहाँ देख सकते हैं.
@font-face / unicode-range
आप विशेष यूनिकोड मानों के लिए बाहरी फॉन्ट्स को निर्दिष्ट कर सकते हैं जो केवल पृष्ठ में उपस्थित होने पर इकट्ठे किए जाएंगे। उदाहरण के लिए:
पाठ नोड उद्धारण (I): लिगेचर्स
संदर्भ: Wykradanie danych w świetnym stylu – czyli jak wykorzystać CSS-y do ataków na webaplikację
इस तकनीक का वर्णन फॉन्ट लिगेचर्स का शोषण करके नोड से पाठ निकालने के लिए है और चौड़ाई में परिवर्तनों का मॉनिटरिंग करने का शामिल है। प्रक्रिया कई चरणों में होती है:
कस्टम फॉन्ट्स का निर्माण:
SVG फॉन्ट्स को ग्लिफ्स के साथ बनाया जाता है जिनमें
horiz-adv-x
विशेषता होती है, जो दो वर्ण सीक्वेंस का प्रतिनिधित्व करने वाले ग्लिफ के लिए एक बड़ी चौड़ाई सेट करती है।उदाहरण SVG ग्लिफ:
<glyph unicode="XY" horiz-adv-x="8000" d="M1 0z"/>
, जहां "XY" एक दो वर्ण सीक्वेंस का प्रतिनिधित्व करता है।इन फॉन्ट्स को फॉन्टफोर्ज का उपयोग करके woff प्रारूप में रूपांतरित किया जाता है।
चौड़ाई में परिवर्तन का पता लगाना:
CSS का उपयोग किया जाता है ताकि पाठ लपेटना न हो (
white-space: nowrap
) और स्क्रॉलबार स्टाइल को अनुकूलित करने के लिए।एक क्षैतिज स्क्रॉलबार का उपस्थिति, विशेष रूप से सजीव, एक संकेतक (ओरेकल) के रूप में काम करता है कि एक विशेष लिगेचर, और इसलिए एक विशेष वर्ण सीक्वेंस, पाठ में मौजूद है।
शामिल CSS:
शोषण प्रक्रिया:
चरण 1: विशाल चौड़ाई वाले वर्णों के जोड़ों के लिए फॉन्ट बनाए जाते हैं।
चरण 2: एक स्क्रॉलबार-आधारित चाल उपयोग किया जाता है ताकि पता लग सके कि बड़ी चौड़ाई वाला ग्लिफ (वर्ण जोड़ के लिए लिगेचर) कब रेंडर होता है, जिससे वर्ण सीक्वेंस की मौजूदगी का पता चलता है।
चरण 3: एक लिगेचर का पता लगाने पर, तीन-वर्ण सीक्वेंस को उत्पन्न किया जाता है, जिसमें पहचानी गई जोड़ शामिल है और एक पूर्ववर्ती या उत्तरवर्ती वर्ण जोड़ा जाता है।
चरण 4: तीन-वर्ण लिगेचर का पता लगाया जाता है।
चरण 5: प्रक्रिया दोहराई जाती है, पूरे पाठ को प्रतिबद्ध करते हुए।
अनुकूलन:
वर्तमान प्रारंभीकरण विधि
<meta refresh=...
अधिकतम नहीं है।एक और अधिक दक्ष पहुंच उपाय CSS
@import
चाल का उपयोग कर सकता है, शोषण की प्रदर्शनक्षमता को बढ़ाते हुए।
पाठ नोड उद्धारण (II): डिफ़ॉल्ट फ़ॉन्ट के साथ चारसेट लीक करना (बाहरी संपत्तियों की आवश्यकता नहीं है)
संदर्भ: PoC using Comic Sans by @Cgvwzq & @Terjanq
यह चाल इस Slackers thread में जारी की गई थी। एक पाठ नोड में उपयोग किए जाने वाले चारसेट को डिफ़ॉल्ट फ़ॉन्ट्स का उपयोग करके लीक किया जा सकता है: कोई बाहरी -या कस्टम- फ़ॉन्ट की आवश्यकता नहीं है।
यह धारणा एक एनिमेशन का उपयोग करने के चार्टर के चरणात्मक विस्तार को बढ़ाने के लिए है, जिससे एक समय में केवल एक वर्ण 'सफ़िक्स' भाग से 'प्रीफ़िक्स' भाग में स्थानांतरित हो सके। इस प्रक्रिया से पाठ को दो खंडों में विभाजित किया जा सकता है:
प्रीफ़िक्स: प्रारंभिक पंक्ति।
सफ़िक्स: आगामी पंक्ति(एं)।
वर्णों के संक्रमण चरण निम्नलिखित रूप में दिखाई देंगे:
C ADB
CA DB
CAD B
CADB
इस संक्रमण के दौरान, यूनिकोड-रेंज चाल का उपयोग प्रत्येक नए वर्ण की पहचान करने के लिए किया जाता है जैसे ही वह प्रीफ़िक्स में शामिल होता है। इसे कॉमिक सैंस फ़ॉन्ट में स्विच करके प्राप्त किया जाता है, जो डिफ़ॉल्ट फ़ॉन्ट से अधिक लंबा है, जिससे एक लंबवत स्क्रॉलबार ट्रिगर होता है। इस स्क्रॉलबार का उपस्थिति अप्रत्यक्ष रूप से प्रीफ़िक्स में एक नए वर्ण की मौजूदगी को प्रकट करती है।
यद्यपि यह विधि नए वर्णों की पहचान की अनुमति देती है जैसे ही वे प्रकट होते हैं, यह यह निर्दिष्ट नहीं करती कि कौन सा वर्ण दोहराया गया है, केवल यह कि एक पुनरावृत्ति हुई है।
मूल रूप से, यूनिकोड-रेंज का उपयोग एक वर्ण का पता लगाने के लिए किया जाता है, लेकिन हम एक बाहरी फ़ॉन्ट लोड करना नहीं चाहते हैं, इसलिए हमें एक और तरीका ढूंढने की आवश्यकता है। जब वर्ण मिल जाता है, उसे पूर्व-स्थापित कॉमिक सैंस फ़ॉन्ट दिया जाता है, जिससे वर्ण बड़ा हो जाता है और एक स्क्रॉलबार ट्रिगर होता है जो पाए गए वर्ण को लीक करेगा।
पोस्ट किए गए PoC से निकाले गए कोड की जाँच करें:
पाठ नोड एक्सफिल्ट्रेशन (III): डिफ़ॉल्ट फ़ॉन्ट के साथ चारसेट लीक करना एलिमेंट्स को छुपाकर (बाह्य संपत्तियों की आवश्यकता नहीं है)
संदर्भ: इसे इस लेखन में एक असफल समाधान के रूप में उल्लेख किया गया है
यह मामला पिछले वाले से बहुत समान है, हालांकि, इस मामले में विशेष चार्स को अन्य से बड़ा बनाने का उद्देश्य कुछ छुपाना है जैसे कि बॉट द्वारा दबाया न जाने वाला बटन या एक छवि जो लोड नहीं होगी। इसलिए हम कार्रवाई को माप सकते हैं (या कार्रवाई की कमी) और जान सकते हैं कि क्या टेक्स्ट में कोई विशेष चार है।
पाठ नोड एक्सफिल्ट्रेशन (III): कैश समय द्वारा चारसेट लीक करना (बाह्य संपत्तियों की आवश्यकता नहीं है)
संदर्भ: इसे इस लेखन में एक असफल समाधान के रूप में उल्लेख किया गया है
इस मामले में, हम कोशिश कर सकते हैं कि क्या टेक्स्ट में एक चार है या नहीं एक झूठा फ़ॉन्ट लोड करके समाधान से:
यदि एक मिलान होता है, तो फॉन्ट /static/bootstrap.min.css?q=1
से लोड किया जाएगा। हालांकि यह सफलतापूर्वक लोड नहीं होगा, ब्राउज़र कैश करेगा, और यदि कोई कैश नहीं है, तो एक 304 not modified तंत्र है, तो प्रतिक्रिया अन्य चीजों से तेज होनी चाहिए।
हालांकि, यदि कैश की प्रतिक्रिया के गैर-कैश वाले से अंतर काफी बड़ा नहीं है, तो यह उपयोगी नहीं होगा। उदाहरण के लिए, लेखक ने उल्लेख किया: हालांकि, परीक्षण के बाद, मुझे पता चला कि पहली समस्या यह है कि गति में ज्यादा अंतर नहीं है, और दूसरी समस्या यह है कि बॉट disk-cache-size=1
ध्वज का उपयोग करता है, जो वास्तव में विचारशील है।
पाठ नोड उद्धरण (III): समय लोडिंग से चारसेट लीक करना सैकड़ों स्थानीय "फॉन्ट" (बाह्य संपत्तियों की आवश्यकता नहीं है)
संदर्भ: इसे इस लेखन में एक असफल समाधान के रूप में उल्लेख किया गया है
इस मामले में जब एक मिलान होता है, तो आप CSS को सैकड़ों नकली फॉन्ट्स लोड करने के लिए संकेत दे सकते हैं जब एक मिलान होता है। इस तरह आप समय को माप सकते हैं और यह जान सकते हैं कि क्या कोई वस्तु दिखाई देती है या नहीं कुछ इस प्रकार:
और बॉट का कोड इस तरह दिखता है:
इसलिए, यदि फ़ॉन्ट मेल नहीं खाता है, तो बॉट को देखने पर प्रतिक्रिया समय का अनुमानित समय लगभग 30 सेकंड है। हालांकि, यदि फ़ॉन्ट मेल है, तो फ़ॉन्ट प्राप्त करने के लिए कई अनुरोध भेजे जाएंगे, जिससे नेटवर्क को लगातार गतिविधि होगी। इसके परिणामस्वरूप, स्थिरता शर्त को पूरा करने और प्रतिक्रिया प्राप्त करने में अधिक समय लगेगा। इसलिए, प्रतिक्रिया समय का उपयोग करके यह निर्धारित किया जा सकता है कि क्या फ़ॉन्ट मेल है।
संदर्भ
Try Hard Security Group
Last updated