Bypassing SOP with Iframes - 1
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
在这个由 NDevTK 和 Terjanq 创建的 挑战 中,你需要利用编码中的 XSS。
主要问题是主页面使用DomPurify发送data.body
,因此为了将自己的html数据发送到该代码中,你需要绕过e.origin !== window.origin
。
让我们看看他们提出的解决方案。
当//example.org
嵌入到一个沙盒iframe中时,页面的源将是**null
,即window.origin === null
。因此,仅通过使用<iframe sandbox="allow-scripts" src="https://so-xss.terjanq.me/iframe.php">
嵌入iframe,我们可以强制null
源**。
如果页面是可嵌入的,你可以通过这种方式绕过该保护(cookies也可能需要设置为SameSite=None
)。
较少人知的是,当沙盒值allow-popups
被设置时,打开的弹出窗口将继承所有沙盒属性,除非设置了allow-popups-to-escape-sandbox
。
因此,从null源打开弹出窗口将使弹出窗口内的**window.origin
也为null
**。
因此,对于这个挑战,可以创建一个iframe,打开一个弹出窗口到具有脆弱XSS代码处理程序的页面(/iframe.php
),因为window.origin === e.origin
因为两者都是null
,所以可以发送一个有效载荷来利用XSS。
该有效载荷将获取标识符并将XSS发送回顶部页面(打开弹出窗口的页面),这将使位置更改为脆弱的/iframe.php
。因为标识符是已知的,所以不管条件window.origin === e.origin
是否满足都无所谓(记住,源是来自具有源为**null
的iframe的弹出窗口**),因为data.identifier === identifier
。然后,XSS将再次触发,这次在正确的源中。
学习与实践 AWS 黑客技术:HackTricks 培训 AWS 红队专家 (ARTE) 学习与实践 GCP 黑客技术:HackTricks 培训 GCP 红队专家 (GRTE)