# 连接池示例
从零到英雄学习AWS黑客技术 htARTE (HackTricks AWS Red Team Expert)!
支持HackTricks的其他方式:
* 如果您想在**HackTricks中看到您的公司广告**或**下载HackTricks的PDF**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks商品**](https://peass.creator-spring.com)
* 发现[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们独家的[**NFTs系列**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群组**](https://discord.gg/hRep4RUj7f) 或 [**telegram群组**](https://t.me/peass) 或在**Twitter** 🐦 上**关注**我 [**@carlospolopm**](https://twitter.com/carlospolopm)**。**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
## Sekaictf2022 - safelist
在[**Sekaictf2022 - safelist**](https://github.com/project-sekai-ctf/sekaictf-2022/tree/main/web/safelist/solution)挑战中,[**@Strellic\_**](https://twitter.com/Strellic\_)给出了一个如何使用**连接池**技术的**变体**来执行**XS-Leak**的示例。
在这个挑战中,目标是窃取将出现在机器人网页会话中的帖子里的一个flag。攻击者拥有以下资源:
* **机器人**将**访问**攻击者提供的**URL**
* 攻击者可以在页面中**注入HTML**(但不能使用JS,使用了dompurify)通过滥用**CSRF**使**机器人创建**带有该HTML的**帖子**。
* 攻击者可以滥用CSRF使**机器人**在网页中**删除**第一个**帖子**。
* 由于**帖子**是按**字母顺序**排列的,当**第一个帖子被删除**时,如果攻击者的**HTML**内容被**加载**,意味着它在字母顺序上是在**flag之前**的。
因此,为了窃取flag,@Strellyc\_ 提出的解决方案是,**对于每个要测试的字符**让机器人:
* 创建一个**新帖子**,该帖子以已知的**flag部分**开头,并包含多个**img** **加载**。
* **删除**位置**0**的**帖子**。
* 阻塞255个套接字。
* 加载带有帖子的页面
* 对一个站点(本例中为example.com)执行5个随机请求,并测量这需要的时间。
{% hint style="warning" %}
如果**被删除**的帖子是**flag**,这意味着所有**注入**的HTML中的**图片**都将与**5个随机请求**争夺那个**未被阻塞**的套接字。这意味着测量的时间将比另一种情况更长。
如果**被删除**的帖子是**HTML**,那么**5个随机请求**将会**更快**,因为它们不需要与注入的HTML争夺套接字。
{% endhint %}
### Exploit 1
以下是漏洞利用代码,取自[https://github.com/project-sekai-ctf/sekaictf-2022/blob/main/web/safelist/solution/solve.html](https://github.com/project-sekai-ctf/sekaictf-2022/blob/main/web/safelist/solution/solve.html):
```html
```
### Exploit 2
相同策略但代码不同,来源于 [https://blog.huli.tw/2022/10/05/en/sekaictf2022-safelist-xsleak/](https://blog.huli.tw/2022/10/05/en/sekaictf2022-safelist-xsleak/)
```html
```
## DiceCTF 2022 - carrot
在这个案例中,利用的第一步是滥用 CSRF 来修改包含 flag 的页面,使其包含**更多内容**(因此加载它需要更多时间),然后**滥用连接池来测量访问可能含有 flag 的页面所需的时间**。
在利用中你可以看到:
* 滥用 CSRF
* 占用所有套接字但留下一个
* 校准响应
* 通过访问可能含有 flag 的页面开始暴力破解
* 可能的页面将被访问,紧接着攻击者控制的 URL 也会被访问,以检查两个请求分别需要多少时间。
```html
DiceCTF 2022 web/carrot
Step 1: CSRF the admin user, to set a super long title for the flag note (LAX + POST form only possible for 2 minutes after cookies is created)
Step 2: XS-Search with connection-pool timing leak, we have to use window.open (LAX cookie)
```
从零到英雄学习AWS黑客技术,通过 htARTE (HackTricks AWS Red Team Expert)!
支持HackTricks的其他方式:
* 如果你想在**HackTricks中看到你的公司广告**或者**下载HackTricks的PDF版本**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks商品**](https://peass.creator-spring.com)
* 发现[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们独家的[**NFTs系列**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群组**](https://discord.gg/hRep4RUj7f) 或 [**telegram群组**](https://t.me/peass) 或在 **Twitter** 🐦 上**关注**我 [**@carlospolopm**](https://twitter.com/carlospolopm)**。**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享你的黑客技巧。