# Dom Clobbering
{{#include ../../banners/hacktricks-training.md}}
## **Basiese beginsels**
Dit is moontlik om **globale veranderlikes binne die JS-konteks** te genereer met die eienskappe **`id`** en **`name`** in HTML-tags.
```html
```
**Slegs** sekere elemente kan die **naam attribuut** gebruik om globals te clobber, hulle is: `embed`, `form`, `iframe`, `image`, `img` en `object`.
Interessant genoeg, wanneer jy 'n **form element** gebruik om 'n veranderlike te **clobber**, sal jy die **`toString`** waarde van die element self kry: `[object HTMLFormElement]` maar met **anker** sal die **`toString`** die anker **`href`** wees. Daarom, as jy clobber met die **`a`** tag, kan jy die **waarde** **beheer** wanneer dit **as 'n string** behandel word:
```html
```
### Arrays & Attributes
Dit is ook moontlik om 'n **array** en **objek eienskappe** te **clobber**:
```html
```
Om **'n 3de attribuut** (bv. x.y.z) te oorskry, moet jy **'n `form`** gebruik:
```html
```
Clobbering meer eienskappe is **meer ingewikkeld maar steeds moontlik**, met behulp van iframes:
```html
```
> [!WARNING]
> Die style-tag word gebruik om **genoeg tyd aan die iframe te gee om te render**. Sonder dit sal jy 'n waarskuwing van **undefined** vind.
Om dieper eienskappe te klobber, kan jy **iframes met html-kodering** op hierdie manier gebruik:
```html
```
### **Filter Omseiling**
As 'n filter deur die eienskappe van 'n knoop **loop** met iets soos `document.getElementByID('x').attributes`, kan jy die attribuut **`.attributes`** **clobber** en die filter **breek**. Ander DOM-eienskappe soos **`tagName`**, **`nodeName`** of **`parentNode`** en meer is ook **clobberable**.
```html
```
## **Clobbering `window.someObject`**
In JavaScript is dit algemeen om te vind:
```javascript
var someObject = window.someObject || {}
```
Die manipulasie van HTML op die bladsy laat toe om `someObject` met 'n DOM-knoop te oorskry, wat moontlik sekuriteitskwesies kan inbring. Byvoorbeeld, jy kan `someObject` vervang met 'n anker-element wat na 'n kwaadwillige skrip wys:
```html
```
In 'n kwesbare kode soos:
```html
```
Hierdie metode benut die skripbron om ongewenste kode uit te voer.
**Trick**: **`DOMPurify`** laat jou toe om die **`cid:`** protokol te gebruik, wat **nie URL-encodeer dubbele aanhalings** nie. Dit beteken jy kan **'n geënkodeerde dubbele aanhaling inspuit wat tydens uitvoering gedecodeer sal word**. Daarom sal die inspuiting van iets soos **``** die HTML geënkodeerde `"` **tydens uitvoering gedecodeer** maak en **ontsnap** van die attribuutwaarde om die **`onerror`** gebeurtenis te **skep**.
'n Ander tegniek gebruik 'n **`form`** element. Sekere kliënt-kant biblioteke ondersoek die attribuut van 'n nuut geskepte form element om dit skoon te maak. Deur egter 'n `input` met `id=attributes` binne die vorm by te voeg, oorskry jy effektief die attribuut eienskap, wat verhoed dat die sanitizer toegang tot die werklike attribuut het.
Jy kan [**'n voorbeeld van hierdie tipe clobbering in hierdie CTF skrywe vind**](iframes-in-xss-and-csp.md#iframes-in-sop-2).
## Clobbering dokument objek
Volgens die dokumentasie is dit moontlik om attribuut van die dokument objek te oorskry deur DOM Clobbering:
> Die [Document](https://html.spec.whatwg.org/multipage/dom.html#document) koppelvlak [ondersteun naamgegewe eienskappe](https://webidl.spec.whatwg.org/#dfn-support-named-properties). Die [ondersteunde eienskapname](https://webidl.spec.whatwg.org/#dfn-supported-property-names) van 'n [Document](https://html.spec.whatwg.org/multipage/dom.html#document) objek dokument op enige oomblik bestaan uit die volgende, in [boomorde](https://dom.spec.whatwg.org/#concept-tree-order) volgens die element wat dit bygedra het, terwyl latere duplikate geïgnoreer word, en met waardes van [id](https://html.spec.whatwg.org/multipage/dom.html#the-id-attribute) attribuut wat voor waardes van naam attribuut kom wanneer dieselfde element albei bydra:
>
> \- Die waarde van die naam inhoud attribuut vir alle [exposed](https://html.spec.whatwg.org/multipage/dom.html#exposed) [embed](https://html.spec.whatwg.org/multipage/iframe-embed-object.html#the-embed-element), [form](https://html.spec.whatwg.org/multipage/forms.html#the-form-element), [iframe](https://html.spec.whatwg.org/multipage/iframe-embed-object.html#the-iframe-element), [img](https://html.spec.whatwg.org/multipage/embedded-content.html#the-img-element), en [exposed](https://html.spec.whatwg.org/multipage/dom.html#exposed) [object](https://html.spec.whatwg.org/multipage/iframe-embed-object.html#the-object-element) elemente wat 'n nie-leë naam inhoud attribuut het en in 'n [dokumentboom](https://dom.spec.whatwg.org/#in-a-document-tree) met dokument as hul [wortel](https://dom.spec.whatwg.org/#concept-tree-root) is;\
> \
> \- Die waarde van die [id](https://html.spec.whatwg.org/multipage/dom.html#the-id-attribute) inhoud attribuut vir alle [exposed](https://html.spec.whatwg.org/multipage/dom.html#exposed) [object](https://html.spec.whatwg.org/multipage/iframe-embed-object.html#the-object-element) elemente wat 'n nie-leë [id](https://html.spec.whatwg.org/multipage/dom.html#the-id-attribute) inhoud attribuut het en in 'n [dokumentboom](https://dom.spec.whatwg.org/#in-a-document-tree) met dokument as hul [wortel](https://dom.spec.whatwg.org/#concept-tree-root) is;\
> \
> \- Die waarde van die [id](https://html.spec.whatwg.org/multipage/dom.html#the-id-attribute) inhoud attribuut vir alle [img](https://html.spec.whatwg.org/multipage/embedded-content.html#the-img-element) elemente wat albei 'n nie-leë [id](https://html.spec.whatwg.org/multipage/dom.html#the-id-attribute) inhoud attribuut en 'n nie-leë naam inhoud attribuut het, en in 'n [dokumentboom](https://dom.spec.whatwg.org/#in-a-document-tree) met dokument as hul [wortel](https://dom.spec.whatwg.org/#concept-tree-root) is.
Deur hierdie tegniek te gebruik, kan jy algemeen gebruikte **waardes soos `document.cookie`, `document.body`, `document.children`**, en selfs metodes in die Document koppelvlak soos `document.querySelector` oorskry.
```javascript
document.write("![]()
")
document.cookie
![]()
typeof(document.cookie)
'object'
//Something more sanitize friendly than a img tag
document.write("")
document.cookie
HTMLCollection(2) [img, form, cookie: img]
typeof(document.cookie)
'object
```
## Skryf na die element wat geklobber is
Die resultate van oproepe na **`document.getElementById()`** en **`document.querySelector()`** kan verander word deur 'n `` of `` tag met 'n identiese id attribuut in te spuit. Hier is hoe dit gedoen kan word:
```html
test
clobbered
```
Verder, deur style te gebruik om hierdie ingeslote HTML/body-tags te verberg, kan inmenging van ander teks in die `innerText` voorkom word, wat die doeltreffendheid van die aanval verbeter:
```html
test
existing text
clobbered
```
Ondersoeke na SVG het onthul dat 'n ``-tag ook effektief gebruik kan word:
```html
example.com
```
Vir die HTML-tag om binne SVG in blaaiers soos Chrome en Firefox te funksioneer, is 'n ``-tag nodig:
```html
example.com
```
## Clobbering Forms
Dit is moontlik om **nuwe inskrywings binne 'n vorm** by te voeg net deur die **`form` attribuut** binne sommige tags te spesifiseer. Jy kan dit gebruik om **nuwe waardes binne 'n vorm** by te voeg en selfs 'n nuwe **knoppie** te voeg om dit te **stuur** (clickjacking of om sommige `.click()` JS kode te misbruik):
```html
```
- Vir meer vormattribuut in [**knoppie kyk hierna**](https://www.w3schools.com/tags/tag_button.asp)**.**
## Verwysings
- [https://portswigger.net/research/hijacking-service-workers-via-dom-clobbering](https://portswigger.net/research/hijacking-service-workers-via-dom-clobbering)
- [https://portswigger.net/web-security/dom-based/dom-clobbering](https://portswigger.net/web-security/dom-based/dom-clobbering)
- Heyes, Gareth. JavaScript vir hackers: Leer om soos 'n hacker te dink.
{{#include ../../banners/hacktricks-training.md}}