CSPT the Eval Villain Way!
2024年12月3日 - 作者:Dennis Goodlett
Doyensec的Maxence Schmitt最近为他的CSPT研究构建了一个演练环境。在这篇博客文章中,我们将演示如何使用Eval Villain来发现和利用CSPT漏洞。为此,我们将利用Maxence演练环境中的第二个挑战。
使用Eval Villain进行CSPT的逐步介绍
下一张图片展示了这种方法的效果。
我们添加了一些橙色的框和箭头来更好地说明当前情况。首先,Eval Villain发现页面路径的一部分被用于fetch请求中。在那里,你可以清楚地看到asdf%2f..被URL解码了。或者,你可以展开"编码函数"组来检查。无论哪种方式,Eval Villain都发现了CSPT接收器。
第二个方框位于evSourcer的调试语句上方。这是第一个fetch的响应被添加到Eval Villain源库的地方。结果,Eval Villain警告我们CSPT响应中的_id参数命中了另一个fetch接收器。同样,你可以从"编码函数"中获取更多详细信息。
从每个fetch的arg[2/2]中我们了解到更多信息。第一个fetch是一个GET请求,具有"redirect":"follow",第二个具有"method":"POST"。因此我们控制了一个客户端GET请求的路径,开放重定向可能将该请求发送到我们自己的服务器。我们自己服务器的响应随后将被用于经过身份验证的POST请求的路径中。这张图片展示了CSPT2CSRF利用的完整利用链。
所有这些检测都保留下来帮助我们进行利用。点击提供的解决方案,我们看到以下图像。这确切地展示了利用是如何工作的。
自己构建图片
步骤0:工具
你需要安装有Eval Villain的Firefox。
我们真的推荐在演练环境中尝试这个。CSPT是那种在博客中阅读时似乎很容易,但在测试中遇到时感觉令人生畏的漏洞之一。
步骤1:寻找CSPT
登录演练环境并访问"CSPT2CSRF:GET到POST接收器"页面。在Linux上按ctrl+shift+i或在Mac上按cmd+option+i打开控制台。确保Eval Villain已开启。使用Eval Villain的默认配置,你应该只在控制台中看到[EV] Functions hooked for http://127.0.0.1:3000。
在真实测试中,我们会看到URL路径中显然有一个参数。由于误报,Eval Villain默认不使用路径作为源。所以让我们在"启用/禁用"弹出菜单中打开"路径搜索"(点击Eval Villain徽标)。
现在,在页面刷新后,Eval Villain将告诉我们关于两个使用路径的fetch调用。我们不知道它们是否是CSPT,我们需要检查是否接受../,但这看起来很有希望。
注意:你可能在这里只看到一个fetch,这没问题。
步骤2:测试CSPT
要测试实际的CSPT,只需将字符串%2fasdf%2f..添加到路径的末尾。这是一个好技巧,因为这将标准化为原始路径,如果它易受攻击,网站将表现相同。当你刷新页面时,你将在控制台中看到这个。
找到CSPT原语就是这么容易。如果源在window.name或URL参数中,Eval Villain可能早就找到了它。
由于URL路径被编码了,Eval Villain给了我们一个编码函数。你可以将其粘贴到控制台中,并使用它快速尝试新的payload。该函数将自动应用URL编码。
有了CSPT原语后,利用的下一步是了解这个请求的响应是如何使用的。为此,我们希望将响应作为Eval Villain的新源进行摄取。
步骤3:启用evSourcer
首先你需要在Eval Villain中启用evSourcer全局变量。从弹出菜单进入配置页面,滚动到全局变量表。启用显示"evSourcer"的行。别忘了点击保存。
现在你可以刷新页面,只需在控制台中运行evSourcer.toString()来验证配置更改是否生效。
你可以运行一个快速测试来尝试这个功能。进入这个函数第二个参数的任何内容都将被放入Eval Villain源库中。在使用evSinker之前,字符串foobar不会从eval接收器生成警告,之后它会。
步骤4:将CSPT请求的响应获取到evSourcer中
所以,如果我们将CSPT请求的响应放入evSourcer,Eval Villain可以告诉我们它是否命中了eval、.innerHTML、fetch或我们已挂钩的任何其他接收器。
要找到CSPT请求的响应,我们只需查看Eval Villain给我们的堆栈跟踪。
这里我们高亮了我们认为是"魔法区域"的部分。当你看到函数名从缩小的垃圾变成大的可读字符串时,这通常是你想要开始的地方。这通常意味着从库代码到开发人员编写代码的转换,无论是向前还是向后。这两个函数中可能有一个是我们想要的。基于上下文,fetchNoteById可能正在将信息返回给Ko。所以通过点击它旁边的链接,在调试器中转到Ko函数。到达那里后,通过点击代码窗格左下角的{}图标来美化代码。
你将看到类似这样的代码:
return (0, t.useEffect)((() => {r &&ot.fetchNoteById(r).then((e => { // <-- fetchNoteById调用在这里ot.seenNote(e._id), // <-- 所以`e`可能是我们的JSON响应n(e)})).catch((e => {//...
fetchNoteById显然返回一个promise。这是合理的,所以我们通常设置一个断点来检查e并将其与fetch的响应进行比较。一旦验证了它,就是时候进行检测了。
右键单击包含ot.seenNote的行号,点击"添加条件断点"。添加evSinker调用,使用一个你可以识别为注入e变量的名称。evSinker函数总是返回false,所以我们永远不会真正命中这个断点。
注意我们已禁用源映射。源映射可以优化掉变量,使调试更加困难。此外,Firefox有时需要一分钟来处理美化代码并将断点放在正确的位置,所以请耐心等待。
步骤5:刷新页面,检查次要接收器
现在我们只需刷新页面。由于我们使用true作为evSinker的最后一个参数,我们将使用控制台调试来告诉我们注入了什么。在控制台中启用"调试"。我们还可以在控制台中启用XHR来查看那里的请求和响应。我们感兴趣的请求将直接跟随Eval Villain输出到控制台,所以很容易找到。这是我们看到的。
为了节省空间,我们关闭了第一个fetch组。它确实显示了asdf%2f..payload命中了fetch。我们在那里打开的"XHR"条目没有显示目录遍历,因为它被标准化掉了。但Eval Villain使其易于找到。"XHR"的响应可以在下面的控制台调试中看到被注入。然后当然Eval Villain能够发现它命中了fetch接收器。
步骤6:额外的小事情
你可能注意到最后一张图片中没有arg[2/2]输出。该参数是一个JavaScript对象。Eval Villain默认配置为只查看字符串。打开弹出菜单,点击类型并启用对象。然后当你刷新页面时,你可以从Eval Villain输出中看到传递给fetch的选项。
步骤7:利用
演练环境使查找小工具变得容易。只需转到页面中的"小工具"下拉菜单。现实世界没有这个,所以Burp Suite的Bambda搜索似乎是最佳选择。有关此内容的更多信息,请参阅Maxence的CSPT研究。
额外功能!Eval Villain在Chrome、Electron和可能的Web Views中?
Eval Villain实际上只是一个JavaScript函数,带有配置,Firefox在加载每个页面之前复制/粘贴它。一旦注入,它只使用控制台记录输出。所以理论上,你可以将相同的代码手动复制/粘贴到任何接受JavaScript的地方。
Eval Villain 1.11让你可以做到这一点。转到配置页面并滚动到底部。你将看到一个"复制注入"按钮。如果你点击它,整个Eval Villain注入以及当前配置将被放入你的剪贴板。
使用这个,我们已经将Eval Villain注入到一个检测过的Electron应用程序中。以下屏幕截图显示了Eval Villain在Burp内置Chrome浏览器中的条件断点处运行。
或者你可以使用Burp中的HTTP Mock扩展将Eval Villain粘贴到Web响应中。我们还没有尝试过,但使用Frida将其注入到Android上的Web View中会很酷。
结论
检测目标代码实际上并不需要那么长时间。这篇博客文章逐步解释了如何利用Eval Villain来发现和利用CSPT漏洞。即使是为了使用演练环境学习新技巧,Eval Villain也帮助我们调试小错误。
确保为正确的工作使用正确的工具。例如,Eval Villain不能解码所有内容(查看fragment挑战)。Maxence为CSPT开发了一个很棒的Burp扩展,但它缺乏对DOM的洞察。其他一些工具是Geko、DOMLogger++和DOM Invader(在接收器中启用xhr.open和fetch)。混合搭配最适合你的工具。
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)
公众号二维码
公众号二维码
