[Wargame] 드림핵 - xss-1

문제

---

소스코드

우선 소스코드부터 확인.

def read_url(url, cookie={"name": "name", "value": "value"}):
    cookie.update({"domain": "127.0.0.1"})
    try:
        service = Service(executable_path="/chromedriver")
        options = webdriver.ChromeOptions()
        for _ in [
            "headless",
            "window-size=1920x1080",
            "disable-gpu",
            "no-sandbox",
            "disable-dev-shm-usage",
        ]:
            options.add_argument(_)
        driver = webdriver.Chrome(service=service, options=options)
        driver.implicitly_wait(3)
        driver.set_page_load_timeout(3)
        driver.get("http://127.0.0.1:8000/")
        driver.add_cookie(cookie)
        driver.get(url)
    except Exception as e:
        driver.quit()
        # return str(e)
        return False
    driver.quit()
    return True

read_url() 이라는 함수가 정의되어 있다. url과 cookie 값을 받아 selenium으로 페이지를 로드한다. driver.add_cookie(cookie)로 입력받은 쿠키를 추가하고 driver.get(url)으로 해당 페이지를 로드한다.

• driver.get(url) : 내부적으로 GET 요청을 보내긴 하지만, 단순히 HTML을 받아오는 것만이 아니라, 페이지의 모든 리소스와 JavaScript도 로드하는 브라우저 기반 GET 요청.
• 브라우저 기반 요청 : 실제 웹 브라우저(Chrome, Firefox, Edge 등)를 실행하여 웹 페이지를 로드하고, 사용자처럼 상호작용하는 방식.

def check_xss(param, cookie={"name": "name", "value": "value"}):
    url = f"http://127.0.0.1:8000/vuln?param={urllib.parse.quote(param)}"
    return read_url(url, cookie)

다음은 check_xss(). param과 cookie 값을 받아 url을 생성하고 read_url() 함수의 인자로 넣어 read_url() 함수를 반환한다.

@app.route("/")
def index():
    return render_template("index.html")


@app.route("/vuln")
def vuln():
    param = request.args.get("param", "")
    return param


@app.route("/flag", methods=["GET", "POST"])
def flag():
    if request.method == "GET":
        return render_template("flag.html")
    elif request.method == "POST":
        param = request.form.get("param")
        if not check_xss(param, {"name": "flag", "value": FLAG.strip()}):
            return '<script>alert("wrong??");history.go(-1);</script>'

        return '<script>alert("good");history.go(-1);</script>'

다음은 라우팅에 대한 설명이다. 라우팅은 기본 페이지와 /vuln, /flag, /memo가 있는데 /vuln에선 파라미터로 param을 받아 그대로 반환한다. 접속해보면 기본적으로 alert() 함수가 실행되는 걸 볼 수 있다.

중요한 건 /flag. 코드 중간에 if not check_xss() 조건문을 통해 check_xss() 함수에 사용자가 입력한 parma 값과, 쿠키로 flag 값을 전달하고 있다.

memo_text = ""


   @app.route("/memo")
def memo():
    global memo_text
    text = request.args.get("memo", "")
    memo_text += text + "\n"
    return render_template("memo.html", memo=memo_text)


app.run(host="0.0.0.0", port=8000)

/memo는 사용자가 파라미터로 전달한 값을 페이지에 영구적으로 작성한다.

해당 페이지에 접속할 때마다 기본적으로 hello라는 문구가 작성된다.

정리해보면 /flag에서 데이터를 전송하면 플래그 값을 쿠키에 담고, param 값을 /vuln 페이지의 파라미터로 입력해 url 변수를 생성한다. 그렇게 생성된 param과 url을 read_url() 함수에 전달해 해당 페이지를 로드한다.

/vuln 페이지는 xss 공격이 실행되는 페이지기 때문에 /flag에서 코드를 작성해 보내면 그대로 실행이 될 것이다. 그럼 코드를 작성해 /memo 경로로 쿠키값을 담아 리다이렉트 시키면 플래그가 /memo 경로에 작성될 것.

---

풀이

여기에 <script>document.location.href='/memo?memo='+document.cookie</script>를 입력한다.

good이라는 문구가 뜨면 성공적으로 전송된 것. 이제 /memo 페이지로 이동하면 플래그를 확인할 수 있다.