SOME - Same Origin Method Execution

Вивчайте хакінг AWS від нуля до героя з htARTE (HackTricks AWS Red Team Expert)!

Ви працюєте в кібербезпеці компанії? Хочете побачити рекламу вашої компанії на HackTricks? або хочете мати доступ до останньої версії PEASS або завантажити HackTricks у форматі PDF? Перевірте ПЛАНИ ПІДПИСКИ!
Відкрийте для себе Сім'ю PEASS, нашу колекцію ексклюзивних NFT
Отримайте офіційний PEASS & HackTricks мерч
Приєднуйтесь до 💬 групи Discord або групи Telegram або слідкуйте за мною на Twitter 🐦@carlospolopm.
Поділіться своїми хакерськими трюками, надсилайте PR до репозиторію hacktricks та репозиторію hacktricks-cloud.

Виконання методу з тією самого походження

Іноді ви зможете виконати обмежений JavaScript на сторінці. Наприклад, у випадку, коли ви можете контролювати значення зворотного виклику, яке буде виконано.

У таких випадках одним з найкращих рішень, яке ви можете зробити, є доступ до DOM для виклику будь-якої чутливої дії, яку ви можете знайти там (наприклад, натискання кнопки). Однак, зазвичай ви знайдете цю вразливість в невеликих кінцевих точках без цікавих речей в DOM.

У таких сценаріях цей атака буде дуже корисною, оскільки її мета - зловживання обмеженим виконанням JS всередині DOM з іншої сторінки з тієї самої доменної зони з багатьма цікавими діями.

Основний хід атаки виглядає наступним чином:

Знайдіть зворотний виклик, який ви можете зловживати (потенційно обмежений до [\w\._]).
Якщо він не обмежений і ви можете виконати будь-який JS, ви можете просто зловживати цим як звичайним XSS
Зробіть так, щоб жертва відкрила сторінку, керовану зловмисником
Сторінка відкриється сама в іншому вікні (нове вікно матиме об'єкт opener, який посилається на початковий)
Початкова сторінка завантажить сторінку, де знаходиться цікавий DOM.
Друга сторінка завантажить вразливу сторінку, зловживаючи зворотнім викликом та використовуючи об'єкт opener, щоб отримати доступ та виконати дію на початковій сторінці (яка тепер містить цікавий DOM).

Зверніть увагу, що навіть якщо початкова сторінка отримує доступ до нового URL після створення другої сторінки, об'єкт opener другої сторінки все ще є дійсним посиланням на першу сторінку в новому DOM.

Крім того, для того, щоб друга сторінка могла використовувати об'єкт opener, обидві сторінки повинні бути в тій самій доменній зоні. Це причина того, чому для зловживання цією вразливістю вам потрібно знайти якийсь XSS в тій самій доменній зоні.

Експлуатація

Ви можете використовувати цю форму для створення PoC для експлуатації цього типу вразливості: https://www.someattack.com/Playground/SOMEGenerator
Щоб знайти шлях до DOM до елемента HTML з кліком, ви можете використовувати це розширення браузера: https://www.someattack.com/Playground/targeting_tool

Приклад

Ви можете знайти вразливий приклад за посиланням https://www.someattack.com/Playground/
Зверніть увагу, що в цьому прикладі сервер генерує код JavaScript та додає його до HTML на основі вмісту параметра зворотнього виклику: <script>opener.{callbacl_content}</script> . Тому в цьому прикладі вам не потрібно явно вказувати використання opener.
Також перевірте цей опис CTF: https://ctftime.org/writeup/36068

Посилання

https://conference.hitb.org/hitbsecconf2017ams/sessions/everybody-wants-some-advance-same-origin-method-execution/

PreviousShadow DOM NextSniff Leak

Last updated 1 month ago