# Exemplos de Pool de Conexão
☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥
* Você trabalha em uma **empresa de cibersegurança**? Você quer ver sua **empresa anunciada no HackTricks**? ou você quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e** [**repositório hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
## Sekaictf2022 - safelist
No desafio [**Sekaictf2022 - safelist**](https://github.com/project-sekai-ctf/sekaictf-2022/tree/main/web/safelist/solution), [**@Strellic\_**](https://twitter.com/Strellic\_) dá um exemplo de como usar uma **variação** da técnica de **Pool de Conexão** para realizar um **XS-Leak**.
Neste desafio, o objetivo é extrair uma bandeira que aparecerá na sessão web dos bots dentro de um post. Estes são os recursos que o atacante possui:
* O **bot** irá **visitar** uma **URL** fornecida pelo atacante
* O atacante pode **injetar HTML** na página (mas sem JS, o dompurify é usado) abusando de um **CSRF** fazendo com que o **bot crie um post** com esse HTML.
* O atacante pode abusar de um CSRF para fazer com que o **bot** **delete** o **primeiro post** dentro da web.
* Como os **posts** são ordenados **alfabeticamente**, quando o **primeiro post é deletado**, se o conteúdo **HTML** do atacante for **carregado**, significa que ele estava **alfabeticamente antes da bandeira**.
Portanto, para roubar a bandeira, a solução proposta por @Strellyc\_ é, **para cada caractere a ser testado**, fazer com que o bot:
* Crie um **novo post** que **comece** com a parte conhecida da **bandeira** e vários **carregamentos** de **img**.
* **Delete** o **post** na posição **0**.
* Bloqueie 255 sockets.
* Carregue a página com os posts.
* Realize 5 solicitações aleatórias para um site (example.com neste caso) e meça o tempo que isso leva.
{% hint style="warning" %}
Se o post **deletado** foi a **bandeira**, isso significa que todas as **imagens** **injetadas** no HTML vão **competir** com as **5 solicitações aleatórias** por esse socket **desbloqueado**. O que significa que o tempo medido será maior do que no outro cenário.
Se o post **deletado** foi o **HTML**, as **5 solicitações aleatórias** serão **mais rápidas** porque elas não precisam competir por esse socket com o HTML injetado.
{% endhint %}
### Exploit 1
Este é o código de exploração, retirado de [https://github.com/project-sekai-ctf/sekaictf-2022/blob/main/web/safelist/solution/solve.html](https://github.com/project-sekai-ctf/sekaictf-2022/blob/main/web/safelist/solution/solve.html):
```html
```
### Exploração 2
A mesma tática, mas com um código diferente de [https://blog.huli.tw/2022/10/05/en/sekaictf2022-safelist-xsleak/](https://blog.huli.tw/2022/10/05/en/sekaictf2022-safelist-xsleak/)
```html
```
## DiceCTF 2022 - carrot
Neste caso, o primeiro passo do exploit foi abusar de um CSRF para modificar a página onde a flag está contida, de modo que ela tenha **muito mais conteúdo** (e, portanto, leve mais tempo para carregar), e então **abusar do pool de conexões para medir o tempo necessário para acessar a página** que potencialmente pode ter a flag.
No exploit, você pode ver:
* Abuso de CSRF
* Ocupar todos os sockets, exceto um
* Calibrar a resposta
* Iniciar a força bruta acessando a página potencial com a flag
* A página potencial será acessada e imediatamente uma URL controlada pelo atacante também será acessada para verificar quanto tempo ambas as solicitações levam.
```html
DiceCTF 2022 web/carrot
Step 1: CSRF the admin user, to set a super long title for the flag note (LAX + POST form only possible for 2 minutes after cookies is created)
```
☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥
* Você trabalha em uma **empresa de cibersegurança**? Você quer ver sua **empresa anunciada no HackTricks**? ou você quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe seus truques de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e** [**repositório hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).