SOME - Same Origin Method Execution

{% hint style="success" %} Lerne & übe AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Lerne & übe GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Überprüfe die Abonnementpläne!
Tritt der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folge uns auf Twitter 🐦 @hacktricks_live.
Teile Hacking-Tricks, indem du PRs zu den HackTricks und HackTricks Cloud GitHub-Repos einreichst.

{% endhint %}

WhiteIntel ist eine Dark-Web-unterstützte Suchmaschine, die kostenlose Funktionen bietet, um zu überprüfen, ob ein Unternehmen oder dessen Kunden durch Stealer-Malware kompromittiert wurden.

Das Hauptziel von WhiteIntel ist es, Kontoübernahmen und Ransomware-Angriffe zu bekämpfen, die durch informationsstehlende Malware verursacht werden.

Du kannst ihre Website besuchen und ihre Engine kostenlos ausprobieren unter:

{% embed url="https://whiteintel.io" %}

Same Origin Method Execution

Es wird Gelegenheiten geben, bei denen du einige eingeschränkte JavaScript auf einer Seite ausführen kannst. Zum Beispiel in dem Fall, dass du einen Callback-Wert kontrollieren kannst, der ausgeführt wird.

In diesen Fällen ist eine der besten Dinge, die du tun kannst, auf das DOM zuzugreifen, um jede sensible Aktion aufzurufen, die du dort finden kannst (wie das Klicken auf einen Button). In der Regel wirst du diese Schwachstelle jedoch in kleinen Endpunkten ohne interessante Dinge im DOM finden.

In diesen Szenarien wird dieser Angriff sehr nützlich sein, da sein Ziel darin besteht, die eingeschränkte JS-Ausführung innerhalb eines DOM von einer anderen Seite derselben Domain mit viel interessanteren Aktionen zu missbrauchen.

Grundsätzlich ist der Angriffsfluss wie folgt:

Finde einen Callback, den du missbrauchen kannst (potenziell beschränkt auf [\w\._]).
Wenn es nicht beschränkt ist und du beliebiges JS ausführen kannst, könntest du dies einfach als reguläres XSS missbrauchen.
Lass die Opfer eine Seite öffnen, die vom Angreifer kontrolliert wird.
Die Seite wird sich selbst in einem neuen Fenster öffnen (das neue Fenster hat das Objekt opener, das auf das ursprüngliche verweist).
Die ursprüngliche Seite wird die Seite laden, auf der sich das interessante DOM befindet.
Die zweite Seite wird die anfällige Seite laden, die den Callback missbraucht und das opener-Objekt verwenden, um auf die ursprüngliche Seite zuzugreifen und eine Aktion auszuführen (die jetzt das interessante DOM enthält).

{% hint style="danger" %} Beachte, dass selbst wenn die ursprüngliche Seite nach dem Erstellen der zweiten Seite auf eine neue URL zugreift, das opener-Objekt der zweiten Seite immer noch eine gültige Referenz auf die erste Seite im neuen DOM ist.

Darüber hinaus müssen beide Seiten, damit die zweite Seite das Opener-Objekt verwenden kann, im selben Ursprung sein. Das ist der Grund, warum du, um diese Schwachstelle auszunutzen, eine Art von XSS im selben Ursprung finden musst. {% endhint %}

Ausnutzung

Du kannst dieses Formular verwenden, um eine PoC zu generieren, um diese Art von Schwachstelle auszunutzen: https://www.someattack.com/Playground/SOMEGenerator
Um einen DOM-Pfad zu einem HTML-Element mit einem Klick zu finden, kannst du diese Browsererweiterung verwenden: https://www.someattack.com/Playground/targeting_tool

Beispiel

Du kannst ein anfälliges Beispiel unter https://www.someattack.com/Playground/ finden.
Beachte, dass der Server in diesem Beispiel JavaScript-Code generiert und hinzufügt, basierend auf dem Inhalt des Callback-Parameters: <script>opener.{callbacl_content}</script>. Deshalb musst du in diesem Beispiel die Verwendung von opener nicht explizit angeben.
Überprüfe auch diesen CTF-Bericht: https://ctftime.org/writeup/36068

Referenzen

https://conference.hitb.org/hitbsecconf2017ams/sessions/everybody-wants-some-advance-same-origin-method-execution/