hacktricks/pentesting-web/postmessage-vulnerabilities/blocking-main-page-to-steal-postmessage.md

# 메인 페이지 차단하여 postmessage 도용하기

<details>

<summary><strong>htARTE (HackTricks AWS Red Team Expert)</strong>를 통해 AWS 해킹을 처음부터 전문가까지 배워보세요<strong>!</strong></summary>

* **사이버 보안 회사**에서 일하시나요? **회사를 HackTricks에서 광고**하거나 **PEASS의 최신 버전에 액세스**하거나 **HackTricks를 PDF로 다운로드**하고 싶으신가요? [**구독 요금제**](https://github.com/sponsors/carlospolop)를 확인해보세요!
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)를 발견해보세요. 독점적인 [**NFT**](https://opensea.io/collection/the-peass-family) 컬렉션입니다.
* [**공식 PEASS & HackTricks 스웨그**](https://peass.creator-spring.com)를 얻으세요.
* [**💬**](https://emojipedia.org/speech-balloon/) [**Discord 그룹**](https://discord.gg/hRep4RUj7f) 또는 [**텔레그램 그룹**](https://t.me/peass)에 **참여**하거나 **Twitter**에서 **팔로우**하세요 🐦[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **[hacktricks repo](https://github.com/carlospolop/hacktricks)와 [hacktricks-cloud repo](https://github.com/carlospolop/hacktricks-cloud)**에 PR을 제출하여 여러분의 해킹 기법을 공유하세요.

</details>

## Iframes로 RC 획득하기

[**Terjanq의 writeup**](https://gist.github.com/terjanq/7c1a71b83db5e02253c218765f96a710)에 따르면, null 원본에서 생성된 blob 문서는 보안상의 이점을 위해 격리되어 있습니다. 이는 즉, 메인 페이지를 계속 유지하면 iframe 페이지가 실행될 것이라는 것을 의미합니다.

이 도전에서는 **격리된 iframe이 실행**되고, 그 **로딩이 완료된 직후**에 **부모** 페이지가 **플래그를 포함한 post 메시지를 보냅니다**.\
그러나, 이 postmessage 통신은 XSS에 취약합니다 (iframe에서 JS 코드를 실행할 수 있음).

따라서, 공격자의 목표는 **부모가 iframe을 생성하도록 하되**, **부모 페이지가 민감한 데이터(플래그)를 보내기 전에 바쁘게 유지**하고 **페이로드를 iframe으로 보내는 것**입니다. 부모가 바쁜 동안 **iframe은 페이로드를 실행**하며, 이는 **부모 postmessage 메시지를 수신하고 플래그를 유출**할 JS 코드입니다.\
마지막으로, iframe이 페이로드를 실행하고 부모 페이지가 바쁨을 멈추면 플래그가 전송되고 페이로드가 이를 유출합니다.

그러나, **부모가 iframe을 생성한 직후에 바쁘게 유지하고 iframe이 준비되어 민감한 데이터를 보낼 때까지** 어떻게 할 수 있을까요? 기본적으로, 부모가 **실행**할 수 있는 **비동기 작업**을 찾아야 합니다. 예를 들어, 이 도전에서는 부모가 다음과 같은 **postmessage**를 **청취**하고 있었습니다:
```javascript
window.addEventListener('message', (e) => {
if (e.data == 'blob loaded') {
$("#previewModal").modal();
}
});
```
그래서 **postmessage에 큰 정수를 보낼 수 있었고**, 해당 비교에서 **문자열로 변환**되어 시간이 소요되었습니다.
```bash
const buffer = new Uint8Array(1e7);
win?.postMessage(buffer, '*', [buffer.buffer]);
```
그리고 정확하게 **postmessage**을 보내기 위해서는 **iframe**이 생성된 후에 **부모로부터 데이터를 수신할 준비가 되기 전에** 보내야 하므로, **`setTimeout`의 밀리초를 조절**해야 합니다.

<details>

<summary><strong>htARTE (HackTricks AWS Red Team Expert)</strong>를 통해 AWS 해킹을 처음부터 전문가까지 배워보세요<strong>!</strong></summary>

* **사이버 보안 회사**에서 일하시나요? **회사를 HackTricks에서 광고하고 싶으신가요**? 또는 **PEASS의 최신 버전에 액세스하거나 HackTricks를 PDF로 다운로드**하고 싶으신가요? [**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)를 확인해보세요!
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)를 발견해보세요. 독점적인 [**NFTs**](https://opensea.io/collection/the-peass-family) 컬렉션입니다.
* [**공식 PEASS & HackTricks 스웨그**](https://peass.creator-spring.com)를 얻으세요.
* [**💬**](https://emojipedia.org/speech-balloon/) [**Discord 그룹**](https://discord.gg/hRep4RUj7f) 또는 [**텔레그램 그룹**](https://t.me/peass)에 **참여**하거나 **Twitter**에서 저를 **팔로우**하세요 🐦[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **[hacktricks repo](https://github.com/carlospolop/hacktricks)와 [hacktricks-cloud repo](https://github.com/carlospolop/hacktricks-cloud)**에 PR을 제출하여 여러분의 해킹 기법을 공유해주세요.

</details>