# Dom Clobbering {% hint style="success" %} Learn & practice AWS Hacking:[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)\ Learn & practice GCP Hacking: [**HackTricks Training GCP Red Team Expert (GRTE)**](https://training.hacktricks.xyz/courses/grte)
Support HackTricks * Check the [**subscription plans**](https://github.com/sponsors/carlospolop)! * **Join the** 💬 [**Discord group**](https://discord.gg/hRep4RUj7f) or the [**telegram group**](https://t.me/peass) or **follow** us on **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.** * **Share hacking tricks by submitting PRs to the** [**HackTricks**](https://github.com/carlospolop/hacktricks) and [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
{% endhint %} ## **Basics** É possível gerar **variáveis globais dentro do contexto JS** com os atributos **`id`** e **`name`** em tags HTML. ```html
``` **Apenas** certos elementos podem usar o **atributo name** para clobber globais, eles são: `embed`, `form`, `iframe`, `image`, `img` e `object`. Curiosamente, quando você usa um **elemento de formulário** para **clobber** uma variável, você obterá o valor **`toString`** do próprio elemento: `[object HTMLFormElement]`, mas com **âncora** o **`toString`** será o **`href`** da âncora. Portanto, se você clobber usando a **tag `a`**, você pode **controlar** o **valor** quando é **tratado como uma string**: ```html ``` ### Arrays & Attributes Também é possível **substituir um array** e **atributos de objeto**: ```html ``` Para sobrescrever **um 3º atributo** (por exemplo, x.y.z), você precisa usar um **`form`**: ```html
``` Clobbering mais atributos é **mais complicado, mas ainda possível**, usando iframes: ```html ``` {% hint style="warning" %} A tag de estilo é usada para **dar tempo suficiente para o iframe renderizar**. Sem ela, você encontrará um alerta de **undefined**. {% endhint %} Para sobrescrever atributos mais profundos, você pode usar **iframes com codificação html** desta forma: ```html ``` ### **Contorno de Filtros** Se um filtro estiver **percorrendo** as **propriedades** de um nó usando algo como `document.getElementByID('x').attributes`, você poderia **clobber** o atributo **`.attributes`** e **quebrar o filtro**. Outras propriedades do DOM como **`tagName`**, **`nodeName`** ou **`parentNode`** e mais também são **clobberáveis**. ```html
``` ## **Clobbering `window.someObject`** Em JavaScript, é comum encontrar: ```javascript var someObject = window.someObject || {}; ``` Manipular HTML na página permite substituir `someObject` por um nó DOM, potencialmente introduzindo vulnerabilidades de segurança. Por exemplo, você pode substituir `someObject` por um elemento âncora apontando para um script malicioso: ```html ``` Em um código vulnerável como: ```html ``` Este método explora a fonte do script para executar código indesejado. **Truque**: **`DOMPurify`** permite que você use o **`cid:`** protocolo, que **não codifica em URL aspas duplas**. Isso significa que você pode **injetar uma aspa dupla codificada que será decodificada em tempo de execução**. Portanto, injetar algo como **``** fará com que a HTML codificada `"` seja **decodificada em tempo de execução** e **escape** do valor do atributo para **criar** o evento **`onerror`**. Outra técnica usa um elemento **`form`**. Certas bibliotecas do lado do cliente inspecionam os atributos de um novo elemento de formulário criado para limpá-los. No entanto, ao adicionar um `input` com `id=attributes` dentro do formulário, você efetivamente sobrescreve a propriedade de atributos, impedindo que o sanitizador acesse os atributos reais. Você pode [**encontrar um exemplo desse tipo de clobbering neste writeup de CTF**](iframes-in-xss-and-csp.md#iframes-in-sop-2). ## Clobbering do objeto documento De acordo com a documentação, é possível sobrescrever atributos do objeto documento usando DOM Clobbering: > A interface [Document](https://html.spec.whatwg.org/multipage/dom.html#document) [suporta propriedades nomeadas](https://webidl.spec.whatwg.org/#dfn-support-named-properties). Os [nomes de propriedades suportados](https://webidl.spec.whatwg.org/#dfn-supported-property-names) de um objeto [Document](https://html.spec.whatwg.org/multipage/dom.html#document) em qualquer momento consistem no seguinte, em [ordem de árvore](https://dom.spec.whatwg.org/#concept-tree-order) de acordo com o elemento que as contribuiu, ignorando duplicatas posteriores, e com valores de atributos [id](https://html.spec.whatwg.org/multipage/dom.html#the-id-attribute) vindo antes de valores de atributos de nome quando o mesmo elemento contribui com ambos: > > \- O valor do atributo de conteúdo name para todos os elementos [expostos](https://html.spec.whatwg.org/multipage/dom.html#exposed) [embed](https://html.spec.whatwg.org/multipage/iframe-embed-object.html#the-embed-element), [form](https://html.spec.whatwg.org/multipage/forms.html#the-form-element), [iframe](https://html.spec.whatwg.org/multipage/iframe-embed-object.html#the-iframe-element), [img](https://html.spec.whatwg.org/multipage/embedded-content.html#the-img-element) e [expostos](https://html.spec.whatwg.org/multipage/dom.html#exposed) [object](https://html.spec.whatwg.org/multipage/iframe-embed-object.html#the-object-element) que têm um atributo de conteúdo name não vazio e estão [em uma árvore de documento](https://dom.spec.whatwg.org/#in-a-document-tree) com documento como seu [raiz](https://dom.spec.whatwg.org/#concept-tree-root);\ > \ > \- O valor do atributo de conteúdo [id](https://html.spec.whatwg.org/multipage/dom.html#the-id-attribute) para todos os elementos [expostos](https://html.spec.whatwg.org/multipage/dom.html#exposed) [object](https://html.spec.whatwg.org/multipage/iframe-embed-object.html#the-object-element) que têm um atributo de conteúdo [id](https://html.spec.whatwg.org/multipage/dom.html#the-id-attribute) não vazio e estão [em uma árvore de documento](https://dom.spec.whatwg.org/#in-a-document-tree) com documento como seu [raiz](https://dom.spec.whatwg.org/#concept-tree-root);\ > \ > \- O valor do atributo de conteúdo [id](https://html.spec.whatwg.org/multipage/dom.html#the-id-attribute) para todos os elementos [img](https://html.spec.whatwg.org/multipage/embedded-content.html#the-img-element) que têm tanto um atributo de conteúdo [id](https://html.spec.whatwg.org/multipage/dom.html#the-id-attribute) não vazio quanto um atributo de conteúdo name não vazio, e estão [em uma árvore de documento](https://dom.spec.whatwg.org/#in-a-document-tree) com documento como seu [raiz](https://dom.spec.whatwg.org/#concept-tree-root). Usando essa técnica, você pode sobrescrever **valores comumente usados, como `document.cookie`, `document.body`, `document.children`**, e até mesmo métodos na interface Document como `document.querySelector`. ```javascript document.write("") document.cookie typeof(document.cookie) 'object' //Something more sanitize friendly than a img tag document.write("
") document.cookie HTMLCollection(2) [img, form, cookie: img] typeof(document.cookie) 'object ``` ## Escrevendo após o elemento clobrado Os resultados das chamadas para **`document.getElementById()`** e **`document.querySelector()`** podem ser alterados ao injetar uma tag `` ou `` com um atributo id idêntico. Veja como isso pode ser feito: ```html

clobbered ``` Além disso, ao empregar estilos para ocultar essas tags HTML/body injetadas, a interferência de outro texto no `innerText` pode ser evitada, assim aumentando a eficácia do ataque: ```html

existing text

clobbered ``` Investigações sobre SVG revelaram que uma tag `` também pode ser utilizada de forma eficaz: ```html clobbered ``` Para que a tag HTML funcione dentro do SVG em navegadores como Chrome e Firefox, uma tag `` é necessária: ```html clobbered ``` ## Clobbering Forms É possível adicionar **novas entradas dentro de um formulário** apenas **especificando o atributo `form`** dentro de algumas tags. Você pode usar isso para **adicionar novos valores dentro de um formulário** e até mesmo adicionar um **botão** para **enviá-lo** (clickjacking ou abusando de algum código JS `.click()`): {% code overflow="wrap" %} ```html ``` {% endcode %} * Para mais atributos de formulário em [**botão confira isso**](https://www.w3schools.com/tags/tag\_button.asp)**.** ## Referências * [https://portswigger.net/research/hijacking-service-workers-via-dom-clobbering](https://portswigger.net/research/hijacking-service-workers-via-dom-clobbering) * [https://portswigger.net/web-security/dom-based/dom-clobbering](https://portswigger.net/web-security/dom-based/dom-clobbering) * Heyes, Gareth. JavaScript para hackers: Aprenda a pensar como um hacker. {% hint style="success" %} Aprenda e pratique Hacking AWS:[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)\ Aprenda e pratique Hacking GCP: [**HackTricks Training GCP Red Team Expert (GRTE)**](https://training.hacktricks.xyz/courses/grte)
Support HackTricks * Confira os [**planos de assinatura**](https://github.com/sponsors/carlospolop)! * **Junte-se ao** 💬 [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga**-nos no **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.** * **Compartilhe truques de hacking enviando PRs para o** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.
{% endhint %}