Polish - Ht
HackTricks Training Twitter Linkedin Sponsor

gRPC-Web Pentest

Support HackTricks

Manipulowanie ładunkami gRPC-Web

gRPC-Web używa Content-Type: application/grpc-web-text w żądaniach, co jest rodzajem protobuf w formie zakodowanej w base64, możesz użyć narzędzia gprc-coder, a także możesz zainstalować jego rozszerzenie Burp Suite.

Ręcznie z narzędziem gGRPC Coder

  1. Najpierw zdekoduj ładunek:

echo "AAAAABYSC0FtaW4gTmFzaXJpGDY6BVhlbm9u" | python3 grpc-coder.py --decode --type grpc-web-text | protoscope > out.txt

  1. Edytuj zawartość zdekodowanego ładunku

nano out.txt
2: {"Amin Nasiri Xenon GRPC"}
3: 54
7: {"<script>alert(origin)</script>"}

  1. Zakoduj nowy ładunek

protoscope -s out.txt | python3 grpc-coder.py --encode --type grpc-web-text

  1. Użyj wyjścia w przechwytywaczu Burp:

AAAAADoSFkFtaW4gTmFzaXJpIFhlbm9uIEdSUEMYNjoePHNjcmlwdD5hbGVydChvcmlnaW4pPC9zY3JpcHQ+

Podręcznik z rozszerzeniem gRPC-Web Coder Burp Suite

Możesz użyć rozszerzenia gRPC-Web Coder Burp Suite w gRPC-Web Pentest Suite, co jest łatwiejsze. Możesz przeczytać instrukcje instalacji i użytkowania w jego repozytorium.

Analiza plików Javascript gRPC-Web

W każdej aplikacji gRPC-Web znajduje się przynajmniej jeden plik Javascript. Możesz przeanalizować ten plik, aby znaleźć nowe wiadomości, punkty końcowe i usługi. Spróbuj użyć narzędzia gRPC-Scan.

  1. Pobierz plik Javascript gRPC-Web

  2. Skanuj go za pomocą grpc-scan.py:

python3 grpc-scan.py --file main.js

  1. Analizuj wyniki i testuj nowe punkty końcowe oraz nowe usługi:

Output:
Found Endpoints:
/grpc.gateway.testing.EchoService/Echo
/grpc.gateway.testing.EchoService/EchoAbort
/grpc.gateway.testing.EchoService/NoOp
/grpc.gateway.testing.EchoService/ServerStreamingEcho
/grpc.gateway.testing.EchoService/ServerStreamingEchoAbort

Found Messages:

grpc.gateway.testing.EchoRequest:
+------------+--------------------+--------------+
| Field Name |     Field Type     | Field Number |
+============+====================+==============+
| Message    | Proto3StringField  | 1            |
+------------+--------------------+--------------+
| Name       | Proto3StringField  | 2            |
+------------+--------------------+--------------+
| Age        | Proto3IntField     | 3            |
+------------+--------------------+--------------+
| IsAdmin    | Proto3BooleanField | 4            |
+------------+--------------------+--------------+
| Weight     | Proto3FloatField   | 5            |
+------------+--------------------+--------------+
| Test       | Proto3StringField  | 6            |
+------------+--------------------+--------------+
| Test2      | Proto3StringField  | 7            |
+------------+--------------------+--------------+
| Test3      | Proto3StringField  | 16           |
+------------+--------------------+--------------+
| Test4      | Proto3StringField  | 20           |
+------------+--------------------+--------------+

grpc.gateway.testing.EchoResponse:
+--------------+--------------------+--------------+
|  Field Name  |     Field Type     | Field Number |
+==============+====================+==============+
| Message      | Proto3StringField  | 1            |
+--------------+--------------------+--------------+
| Name         | Proto3StringField  | 2            |
+--------------+--------------------+--------------+
| Age          | Proto3IntField     | 3            |
+--------------+--------------------+--------------+
| IsAdmin      | Proto3BooleanField | 4            |
+--------------+--------------------+--------------+
| Weight       | Proto3FloatField   | 5            |
+--------------+--------------------+--------------+
| Test         | Proto3StringField  | 6            |
+--------------+--------------------+--------------+
| Test2        | Proto3StringField  | 7            |
+--------------+--------------------+--------------+
| Test3        | Proto3StringField  | 16           |
+--------------+--------------------+--------------+
| Test4        | Proto3StringField  | 20           |
+--------------+--------------------+--------------+
| MessageCount | Proto3IntField     | 8            |
+--------------+--------------------+--------------+

grpc.gateway.testing.ServerStreamingEchoRequest:
+-----------------+-------------------+--------------+
|   Field Name    |    Field Type     | Field Number |
+=================+===================+==============+
| Message         | Proto3StringField | 1            |
+-----------------+-------------------+--------------+
| MessageCount    | Proto3IntField    | 2            |
+-----------------+-------------------+--------------+
| MessageInterval | Proto3IntField    | 3            |
+-----------------+-------------------+--------------+

grpc.gateway.testing.ServerStreamingEchoResponse:
+------------+-------------------+--------------+
| Field Name |    Field Type     | Field Number |
+============+===================+==============+
| Message    | Proto3StringField | 1            |
+------------+-------------------+--------------+

grpc.gateway.testing.ClientStreamingEchoRequest:
+------------+-------------------+--------------+
| Field Name |    Field Type     | Field Number |
+============+===================+==============+
| Message    | Proto3StringField | 1            |
+------------+-------------------+--------------+

grpc.gateway.testing.ClientStreamingEchoResponse:
+--------------+----------------+--------------+
|  Field Name  |   Field Type   | Field Number |
+==============+================+==============+
| MessageCount | Proto3IntField | 1            |
+--------------+----------------+--------------+

References

Wsparcie dla HackTricks
PreviousFormula/CSV/Doc/LaTeX/GhostScript InjectionNextHTTP Connection Contamination

Last updated