[dreamhack] xss-1

XSS 공격의 정의를 배우고 이를 이용하여 사용자 쿠키에 담겨진 FLAG를 탈취하는 문제이다

이 문제에선 /vuln, memo, /flag 라우팅으로 이루어져 있다

먼저 /memo 라우팅은 사용자가 전달한 memo 파라미터 값을 render_template 함수를 사용해 HTML 엔티티코드로 반환하는 라우터이며 XSS가 발생하지 않는다

@app.route("/memo")
def memo():
    global memo_text
    text = request.args.get("memo", "")
    memo_text += text + "\n"
    return render_template("memo.html", memo=memo_text)

반면 /vuln 라우팅은 사용자에게 입력받은 파라미터를 그대로 반환해 XSS 공격에 취약하다

@app.route("/vuln")
def vuln():
    param = request.args.get("param", "")
    return param

마지막으로 /flag 라우팅은 GET, POST 요청에 따라 응답이 나누어져 있다

@app.route("/flag", methods=["GET", "POST"])
def flag():
    if request.method == "GET":
        return render_template("flag.html")
    elif request.method == "POST":
        param = request.form.get("param")
        if not check_xss(param, {"name": "flag", "value": FLAG.strip()}):
            return '<script>alert("wrong??");history.go(-1);</script>'

        return '<script>alert("good");history.go(-1);</script>'

GET
flag.html을 반환한다

POST
params 파라미터에 값과 쿠기에 FLAG를 포함해 check_xss 함수를 호출합니다
check_xss는 read_url 함수를 호출해 Selenium을 이용한 가상 시나리오로 vuln 라우팅에 접속한다

def read_url(url, cookie={"name": "name", "value": "value"}):
    cookie.update({"domain": "127.0.0.1"})
    try:
        service = Service(executable_path="/chromedriver")
        options = webdriver.ChromeOptions()
        for _ in [
            "headless",
            "window-size=1920x1080",
            "disable-gpu",
            "no-sandbox",
            "disable-dev-shm-usage",
        ]:
            options.add_argument(_)
        driver = webdriver.Chrome(service=service, options=options)
        driver.implicitly_wait(3)
        driver.set_page_load_timeout(3)
        driver.get("http://127.0.0.1:8000/")
        driver.add_cookie(cookie)
        driver.get(url)
    except Exception as e:
        driver.quit()
        # return str(e)
        return False
    driver.quit()
    return True
    
def check_xss(param, cookie={"name": "name", "value": "value"}):
    url = f"http://127.0.0.1:8000/vuln?param={urllib.parse.quote(param)}"
    return read_url(url, cookie)
    
@app.route("/flag", methods=["GET", "POST"])
def flag():
    if request.method == "GET":
        return render_template("flag.html")
    elif request.method == "POST":
        param = request.form.get("param")
        if not check_xss(param, {"name": "flag", "value": FLAG.strip()}):
            return '<script>alert("wrong??");history.go(-1);</script>'
        return '<script>alert("good");history.go(-1);</script>'

해결 방법

dream hack tools로 모든 요청을 logger 하는 url을 생성한다

/flag 라우팅으로 param에 우리가 실행시킬 XSS 코드를 주입하고 POST로 요청

dream hack tools을 확인해보면 Path로 Flag가 들어오는 것을 볼 수 있다