# Bypassing SOP with Iframes - 2
{% hint style="success" %}
Learn & practice AWS Hacking:[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)\
Learn & practice GCP Hacking: [**HackTricks Training GCP Red Team Expert (GRTE)**](https://training.hacktricks.xyz/courses/grte)
Support HackTricks
* Check the [**subscription plans**](https://github.com/sponsors/carlospolop)!
* **Join the** 💬 [**Discord group**](https://discord.gg/hRep4RUj7f) or the [**telegram group**](https://t.me/peass) or **follow** us on **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Share hacking tricks by submitting PRs to the** [**HackTricks**](https://github.com/carlospolop/hacktricks) and [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
{% endhint %}
## Iframes in SOP-2
Na [**solução**](https://github.com/project-sekai-ctf/sekaictf-2022/tree/main/web/obligatory-calc/solution) para este [**desafio**](https://github.com/project-sekai-ctf/sekaictf-2022/tree/main/web/obligatory-calc)**,** [**@Strellic\_**](https://twitter.com/Strellic\_) propõe um método semelhante à seção anterior. Vamos verificar.
Neste desafio, o atacante precisa **bypass** isso:
```javascript
if (e.source == window.calc.contentWindow && e.data.token == window.token) {
```
Se ele fizer isso, ele pode enviar um **postmessage** com conteúdo HTML que será escrito na página com **`innerHTML`** sem sanitização (**XSS**).
A maneira de contornar a **primeira verificação** é fazendo **`window.calc.contentWindow`** ser **`undefined`** e **`e.source`** ser **`null`**:
* **`window.calc.contentWindow`** é na verdade **`document.getElementById("calc")`**. Você pode sobrescrever **`document.getElementById`** com **``** (note que a Sanitizer API -[aqui](https://wicg.github.io/sanitizer-api/#dom-clobbering)- não está configurada para proteger contra ataques de clobbering de DOM em seu estado padrão).
* Portanto, você pode sobrescrever **`document.getElementById("calc")`** com **`
`**. Então, **`window.calc`** será **`undefined`**.
* Agora, precisamos que **`e.source`** seja **`undefined`** ou **`null`** (porque `==` é usado em vez de `===`, **`null == undefined`** é **`True`**). Conseguir isso é "fácil". Se você criar um **iframe** e **enviar** um **postMessage** dele e imediatamente **remover** o iframe, **`e.origin`** será **`null`**. Verifique o seguinte código
```javascript
let iframe = document.createElement('iframe');
document.body.appendChild(iframe);
window.target = window.open("http://localhost:8080/");
await new Promise(r => setTimeout(r, 2000)); // wait for page to load
iframe.contentWindow.eval(`window.parent.target.postMessage("A", "*")`);
document.body.removeChild(iframe); //e.origin === null
```
Para contornar a **segunda verificação** sobre o token, enviamos **`token`** com o valor `null` e fazemos o valor de **`window.token`** ser **`undefined`**:
* Enviar `token` no postMessage com o valor `null` é trivial.
* **`window.token`** ao chamar a função **`getCookie`** que usa **`document.cookie`**. Note que qualquer acesso a **`document.cookie`** em páginas de origem **`null`** aciona um **erro**. Isso fará com que **`window.token`** tenha o valor **`undefined`**.
A solução final de [**@terjanq**](https://twitter.com/terjanq) é a [**seguinte**](https://gist.github.com/terjanq/0bc49a8ef52b0e896fca1ceb6ca6b00e#file-calc-html):
```html
```
{% hint style="success" %}
Aprenda e pratique Hacking AWS:[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)\
Aprenda e pratique Hacking GCP: [**HackTricks Training GCP Red Team Expert (GRTE)**](https://training.hacktricks.xyz/courses/grte)
Support HackTricks
* Confira os [**planos de assinatura**](https://github.com/sponsors/carlospolop)!
* **Junte-se ao** 💬 [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga**-nos no **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe truques de hacking enviando PRs para os repositórios do** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
{% endhint %}