<summary><strong>Leer AWS-hacking vanaf nul tot held met</strong><ahref="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* As jy wil sien dat jou **maatskappy geadverteer word in HackTricks** of **HackTricks aflaai in PDF-formaat** Kyk na die [**INSKRYWINGSPLANNE**](https://github.com/sponsors/carlospolop)!
* **Sluit aan by die** 💬 [**Discord-groep**](https://discord.gg/hRep4RUj7f) of die [**telegram-groep**](https://t.me/peass) of **volg** ons op **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Deel jou haktruuks deur PR's in te dien by die** [**HackTricks**](https://github.com/carlospolop/hacktricks) en [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github-opslag.
CSS-selektore is saamgestel om waardes van 'n `input` element se `name` en `value` eienskappe te pas. As die waarde-eienskap van die invoerelement met 'n spesifieke karakter begin, word 'n voorafgedefinieerde eksterne bron gelaai:
Om hierdie beperking te omseil, kan jy 'n volgende broer-element teiken deur die `~` algemene broer-kombinator te gebruik. Die CSS-reël geld dan vir al die broers wat volg op die versteekte invoerelement, wat veroorsaak dat die agtergrondbeeld laai:
'n Praktiese voorbeeld van die uitbuiting van hierdie tegniek word in die voorsiene kodefragment in detail beskryf. Jy kan dit [hier](https://gist.github.com/d0nutptr/928301bde1d2aa761d1632628ee8f24e) besigtig.
1.**Lengte van Nutslading**: Die CSS-inspuitingsvektor moet voldoende lang nutsladings ondersteun om die saamgestelde kiesers te akkommodeer.
2.**CSS Her-evaluasie**: Jy moet die vermoë hê om die bladsy te raam, wat nodig is om die her-evaluasie van CSS met nuut gegenereerde nutsladings te trigger.
3.**Eksterne Hulpbronne**: Die tegniek neem aan dat die vermoë om eksterne gehuisvese beelde te gebruik, bestaan. Dit kan beperk word deur die webwerf se Beleid vir Inhoudsekuriteit (CSP).
Soos [**verduidelik in hierdie pos**](https://portswigger.net/research/blind-css-exfiltration), is dit moontlik om die kiesers **`:has`** en **`:not`** te kombineer om inhoud selfs van blinde elemente te identifiseer. Dit is baie nuttig wanneer jy geen idee het wat binne die webbladsy wat die CSS-inspuiting laai, is nie.\
Dit is ook moontlik om daardie kiesers te gebruik om inligting uit verskeie blokke van dieselfde tipe te onttrek soos in:
Die volgende **@import** tegniek kan gekombineer word met CSS-inspuiting om baie **inligting van blinde bladsye te eksfiltreer met** [**blind-css-exfiltration**](https://github.com/hackvertor/blind-css-exfiltration)**.**
Die vorige tegniek het 'n paar nadele, kyk na die vereistes. Jy moet of in staat wees om **meervoudige skakels aan die slagoffer te stuur**, of jy moet in staat wees om **die CSS-inspuiting vatbare bladsy in 'n ifram te plaas**.
In plaas van om dieselfde bladsy keer op keer te laai met tientalle verskillende vullings elke keer (soos in die vorige een), gaan ons **die bladsy net een keer laai en net met 'n invoer na die aanvaller se bediener** (dit is die vulling om aan die slagoffer te stuur):
2. Die eerste deel van die CSS-skrip wat die aanvaller sal stuur is **nog 'n `@import` na die aanvallers se bediener**.
3. Die aanvallers se bediener gaan nie hierdie versoek nog beantwoord nie, omdat ons wil 'n paar karakters lek en dan hierdie invoer beantwoord met die lading om die volgende te lek.
4. Die tweede en groter deel van die lading gaan 'n **kenmerk-selekteerder lekkasie lading** wees.
5. Dit gaan na die aanvallers se bediener stuur die **eerste karakter van die geheim en die laaste een**.
6. Sodra die aanvallers se bediener die **eerste en laaste karakter van die geheim** ontvang het, sal dit **die invoer wat versoek is in stap 2 beantwoord**.
7. Die respons gaan presies dieselfde wees as die **stappe 2, 3 en 4**, maar hierdie keer sal dit probeer **om die tweede karakter van die geheim te vind en dan die voorlaaste**.
Jy kan die oorspronklike [**Pepe Vila se kode om hiervan te profiteer hier vind**](https://gist.github.com/cgvwzq/6260f0f0a47c009c87b4d46ce3808231) of jy kan bykans dieselfde [**kode maar gekommentariseer hier vind**.](./#css-injection)
Die skrip gaan probeer om elke keer 2 karakters te ontdek (van die begin en van die einde) omdat die kenmerk-selekteerder toelaat om dinge te doen soos:
Soms **detecteer die skrif nie korrek dat die ontdekte voorvoegsel + agtervoegsel reeds die volledige vlag is nie** en dit sal voortgaan (in die voorvoegsel) en agtertoe (in die agtervoegsel) en op 'n punt sal dit vashou.\
**Verwysing:** [Aanval gebaseer op CSS: Misbruik van unicode-reeks van @font-face ](https://mksben.l0.cm/2015/10/css-based-attack-abusing-unicode-range.html), [Fout-Gebaseerde XS-Soektog PoC deur @terjanq](https://twitter.com/terjanq/status/1180477124861407234)
Die algemene bedoeling is om **'n aangepaste lettertipe vanaf 'n beheerde eindpunt te gebruik** en te verseker dat **teks (in hierdie geval, 'A') slegs met hierdie lettertipe vertoon word as die gespesifiseerde hulpbron (`favicon.ico`) nie gelaai kan word nie**.
- 'n `<object>` element met `id="poc0"` word geskep in die `<body>` afdeling. Hierdie element probeer 'n bron laai vanaf `http://192.168.0.1/favicon.ico`.
Die **`:target`** pseudo-klas word gebruik om 'n element te kies wat geteiken word deur 'n **URL fragment**, soos gespesifiseer in die [CSS Selectors Level 4 spesifikasie](https://drafts.csswg.org/selectors-4/#the-target-pseudo). Dit is noodsaaklik om te verstaan dat `::target-text` geen elemente kies tensy die teks eksplisiet geteiken word deur die fragment.
'n Sekuriteitskwessie ontstaan wanneer aanvallers die **Rol-na-teks** fragmentfunksie uitbuit, wat hulle in staat stel om die teenwoordigheid van spesifieke teks op 'n webbladsy te bevestig deur 'n bron vanaf hul bediener te laai deur HTML-inspuiting. Die metode behels die inspuiting van 'n CSS-reël soos hierdie:
In sulke scenarios, as die teks "Administrateur" op die bladsy teenwoordig is, word die hulpbron `target.png` vanaf die bediener aangevra wanneer die teks teenwoordig is. 'n Geval van hierdie aanval kan uitgevoer word deur 'n spesiaal ontwerpte URL wat die ingeslote CSS saam met 'n Scroll-to-text fragment inbed.
Hier manipuleer die aanval HTML-inspuiting om die CSS-kode oor te dra, met die doel om die spesifieke teks "Administrateur" deur die Scroll-to-text fragment (`#:~:text=Administrateur`) te teiken. As die teks gevind word, word die aangeduide hulpbron gelaai, wat onbedoeld sy teenwoordigheid aan die aanvaller aandui.
1.**Beperkte STTF-passing**: Scroll-to-text Fragment (STTF) is ontwerp om slegs woorde of sinne te pas, wat sy vermoë om arbitrêre geheime of tokens te lek beperk.
2.**Beperking tot Top-vlak Blaaikontekste**: STTF werk slegs in top-vlak blaaikontekste en funksioneer nie binne iframes nie, wat enige uitbuitingspoging meer opvallend vir die gebruiker maak.
3.**Noodsaaklikheid van Gebruikeraktivering**: STTF vereis 'n gebruiker-aktiveringsgebaar om te werk, wat beteken dat uitbuitings slegs deur gebruiker-geïnisieerde navigasies moontlik is. Hierdie vereiste verlig aansienlik die risiko dat aanvalle outomaties sonder gebruikerinteraksie plaasvind. Nietemin, die outeur van die blogpos wys op spesifieke toestande en omseilings (bv., sosiale manipulasie, interaksie met algemene blaaieruitbreidings) wat die outomatiesering van die aanval mag vergemaklik.
Bewustheid van hierdie meganismes en potensiële kwesbaarhede is sleutel tot die handhawing van websekuriteit en beskerming teen sulke uitbuitende taktieke.
Vir meer inligting, kyk na die oorspronklike verslag: [https://www.secforce.com/blog/new-technique-of-stealing-data-using-css-and-scroll-to-text-fragment-feature/](https://www.secforce.com/blog/new-technique-of-stealing-data-using-css-and-scroll-to-text-fragment-feature/)
Jy kan **eksterne lettertipes vir spesifieke unicode-waardes** spesifiseer wat slegs **versamel word as daardie unicode-waardes teenwoordig is** op die bladsy. Byvoorbeeld:
Wanneer jy hierdie bladsy besoek, haal Chrome en Firefox "?A" en "?B" binne omdat die teksnode van sensitive-information "A" en "B" karakters bevat. Maar Chrome en Firefox haal nie "?C" binne nie omdat dit nie "C" bevat nie. Dit beteken dat ons in staat was om "A" en "B" te lees.
**Verwysing:** [Wykradanie danych w świetnym stylu – czyli jak wykorzystać CSS-y do ataków na webaplikację](https://sekurak.pl/wykradanie-danych-w-swietnym-stylu-czyli-jak-wykorzystac-css-y-do-atakow-na-webaplikacje/)
Die tegniek wat beskryf word, behels die onttrekking van teks uit 'n node deur die uitbuiting van font ligature en die monitorering van veranderinge in breedte. Die proses behels verskeie stappe:
- SVG fonts word geskep met glyphs wat 'n `horiz-adv-x` eienskap het, wat 'n groot breedte instel vir 'n glyph wat 'n twee-karakter volgorde verteenwoordig.
- Voorbeeld SVG glyph: `<glyph unicode="XY" horiz-adv-x="8000" d="M1 0z"/>`, waar "XY" 'n twee-karakter volgorde aandui.
- CSS word gebruik om te verseker dat teks nie oorvou nie (`white-space: nowrap`) en om die skrolbalkstyl aan te pas.
- Die verskyning van 'n horisontale skrolbalk, duidelik gestileer, tree op as 'n aanwyser (orakel) dat 'n spesifieke ligature, en dus 'n spesifieke karaktervolgorde, teenwoordig is in die teks.
- **Stap 2**: 'n Skrolbalk-gebaseerde truuk word gebruik om te bepaal wanneer die groot breedte glyph (ligature vir 'n karakterpaar) gerender word, wat die teenwoordigheid van die karaktervolgorde aandui.
- **Stap 3**: Na die opsporing van 'n ligature, word nuwe glyphs geskep wat drie-karakter volgordes verteenwoordig, wat die opgespoorde paar inkorporeer en 'n voorafgaande of volgende karakter byvoeg.
### Uitlek van teksnode (II): lek van die karakterstel met 'n standaard font (sonder die nodigheid van eksterne bates) <a href="#text-node-exfiltration-ii-leaking-the-charset-with-a-default-font" id="text-node-exfiltration-ii-leaking-the-charset-with-a-default-font"></a>
Hierdie truuk is vrygestel in hierdie [**Slackers thread**](https://www.reddit.com/r/Slackers/comments/dzrx2s/what\_can\_we\_do\_with_single\_css\_injection/). Die karakterstel wat in 'n teksnode gebruik word, kan gelek word **deur die gebruik van die standaard fonts** wat in die blaaier geïnstalleer is: geen eksterne -of aangepaste- fonts is nodig nie.
Die konsep draai rondom die gebruik van 'n animasie om 'n `div` se breedte inkrementeel uit te brei, wat een karakter op 'n slag van die 'suffix' deel van die teks na die 'prefix' deel laat oorgaan. Hierdie proses verdeel die teks effektief in twee afdelings:
Tydens hierdie oorgang word die **unicode-range truuk** gebruik om elke nuwe karakter te identifiseer soos dit by die prefix aansluit. Dit word bereik deur die font na Comic Sans te skakel, wat opvallend langer as die standaard font is, en gevolglik 'n vertikale skrolbalk veroorsaak. Die verskyning van hierdie skrolbalk onthul indirek die teenwoordigheid van 'n nuwe karakter in die prefix.
Alhoewel hierdie metode die opsporing van unieke karakters toelaat soos hulle verskyn, spesifiseer dit nie watter karakter herhaal word nie, net dat 'n herhaling plaasgevind het.
Basies word die **unicode-range gebruik om 'n karakter op te spoor**, maar aangesien ons nie 'n eksterne font wil laai nie, moet ons 'n ander manier vind.\
Wanneer die **karakter gevind** is, word dit die vooraf geïnstalleerde **Comic Sans font** gegee, wat die karakter **groter maak** en 'n skrolbalk **aktiveer** wat die gevonde karakter sal **lek**.
### Teksnode uitlekking (III): lek van die karakterstel deur die karakterstel te verberg met 'n verstek lettertipe (sonder die nodigheid van eksterne bates) <a href="#text-node-exfiltration-ii-leaking-the-charset-with-a-default-font" id="text-node-exfiltration-ii-leaking-the-charset-with-a-default-font"></a>
**Verwysing:** Dit word genoem as [‘n onsuksesvolle oplossing in hierdie skryfstuk](https://blog.huli.tw/2022/06/14/en/justctf-2022-writeup/#ninja1-solves)
Hierdie geval is baie soortgelyk aan die vorige een, maar in hierdie geval is die doel van die maak van spesifieke **karakters groter as ander om iets te verberg** soos 'n knoppie wat nie deur die robot gedruk moet word of 'n prent wat nie gelaai sal word nie. So ons kan die aksie meet (of die gebrek aan aksie) en weet of 'n spesifieke karakter binne die teks teenwoordig is.
### Teksnode uitlekking (III): lek van die karakterstel deur middel van kasheringstyd (sonder die nodigheid van eksterne bates) <a href="#text-node-exfiltration-ii-leaking-the-charset-with-a-default-font" id="text-node-exfiltration-ii-leaking-the-charset-with-a-default-font"></a>
**Verwysing:** Dit word genoem as [‘n onsuksesvolle oplossing in hierdie skryfstuk](https://blog.huli.tw/2022/06/14/en/justctf-2022-writeup/#ninja1-solves)
Indien daar 'n ooreenstemming is, sal die **lettertipe gelaai word vanaf `/static/bootstrap.min.css?q=1`**. Alhoewel dit nie suksesvol sal laai nie, moet die **blaaier dit in die skyf stoor**, en selfs al is daar geen skyf nie, is daar 'n **304 nie gewysig nie** meganisme, sodat die **reaksie vinniger moet wees** as ander dinge.
Maar as die tydverskil van die gestoorde reaksie van die nie-gestoorde een nie groot genoeg is nie, sal dit nie nuttig wees nie. Byvoorbeeld, die skrywer het genoem: Na toetsing het ek egter gevind dat die eerste probleem is dat die spoed nie baie verskil nie, en die tweede probleem is dat die bot die `disk-cache-size=1` vlag gebruik, wat werklik deurdag is.
### Teksnodus uitlekking (III): lek van die karakterstel deur die tyd wat dit neem om honderde plaaslike "lettertipes" te laai (sonder om eksterne bates te vereis) <a href="#text-node-exfiltration-ii-leaking-the-charset-with-a-default-font" id="text-node-exfiltration-ii-leaking-the-charset-with-a-default-font"></a>
**Verwysing:** Dit word genoem as [‘n onsuksesvolle oplossing in hierdie skryfstuk](https://blog.huli.tw/2022/06/14/en/justctf-2022-writeup/#ninja1-solves)
In hierdie geval kan jy **CSS aandui om honderde valse lettertipes** van dieselfde oorsprong te laai wanneer 'n ooreenstemming plaasvind. Op hierdie manier kan jy die **tyd meet** wat dit neem en uitvind of 'n karakter verskyn of nie met iets soos:
So, as die lettertipe nie ooreenstem nie, word verwag dat die responstyd wanneer die bot besoek word, ongeveer 30 sekondes sal wees. Indien daar egter 'n lettertipe-ooreenkoms is, sal verskeie versoek gestuur word om die lettertipe op te haal, wat veroorsaak dat die netwerk voortdurende aktiwiteit het. As gevolg hiervan sal dit langer neem om aan die stopvoorwaarde te voldoen en die respons te ontvang. Daarom kan die responstyd gebruik word as 'n aanduiding om te bepaal of daar 'n lettertipe-ooreenkoms is.
<summary><strong>Leer AWS-hacking vanaf nul tot held met</strong><ahref="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* As jy wil sien dat jou **maatskappy geadverteer word in HackTricks** of **HackTricks aflaai in PDF-formaat**, kyk na die [**INSKRYWINGSPLANNE**](https://github.com/sponsors/carlospolop)!
* **Sluit aan by die** 💬 [**Discord-groep**](https://discord.gg/hRep4RUj7f) of die [**telegram-groep**](https://t.me/peass) of **volg** ons op **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Deel jou haktruuks deur PR's in te dien by die** [**HackTricks**](https://github.com/carlospolop/hacktricks) en [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github-opslag.