JS-Tap: Weaponizing JavaScript for Red Teams

Тестирование на проникновение в формате Red Teaming, в качестве цели предполагает возможность реализации бизнес рисков/недопустимых событий. Поэтому при эксплуатации XSS в уязвимом приложении обычно демонстрации пейлоада <script>alert("XSS")</script> недостаточно. Да и в целом иногда бывает сложно объяснить бизнесу потенциальный импакт от эксплуатации XSS при проведении других видов тестирований, без наглядной демонстрации последствий эксплуатации.

В этой заметке хочу рассказать про JS-Tap - интересный инструмент для развития вектора эксплуатации client-side XSS, который представляет собой js библиотеку, обеспечивающую широкие возможности пост-эксплуатации и C2 сервера на python c веб-интерфейсом для управления.

Существует 2 режима работы:

🔴Trap Mode - эксплуатация XSS в iframe уязвимого приложения, js пейлоад на ~800 строк позволяет собрать:
✅Client IP address, OS, Browser
✅User inputs (credentials, etc.)
✅URLs visited
✅Cookies (that don't have httponly flag set)
✅Local Storage
✅Session Storage
✅HTML code of pages visited
✅Screenshots of pages visited
✅XHR/Fetch API network requests

🔴Implant Mode - дает такие же возможности, но без iframe и необходимости прямого взаимодействия с пользователем для эксплуатации XSS. Проэксплуатировав RCE и имея шелл на сервере веб-приложения, можно немного "дописать" функциональность, добавив пейлоад JS-Tap в js файлы приложения и дальше развлекаться подобным образом со всеми пользователями приложения😎

Подобный сценарий развития атаки когда-то давно был очень популярен, например вектор - подломить какой-нибудь внутренний веб, добавить на главную <html><img src="http://responder"></html> и собрать NTLM хеши пользователей, если включен автоматический логон в intranet. Привет из 2016 для bitrix😂

Таким образом, инструмент получился очень интересный, на тестах лабораторной среде показал себя отлично и определенно заслуживает внимания сообщества👍