Exercise : XSS

---

XSS를 배우고 해결하는 첫 문제
상당히 어려웠다..

아래 코드를 해석하여 flag를 얻어내면 되는 문제인데,
코드를 하나씩 살펴보자.

#!/usr/bin/python3
from flask import Flask, request, render_template
from selenium import webdriver
import urllib
import os

app = Flask(__name__)
app.secret_key = os.urandom(32)

try:
    FLAG = open("./flag.txt", "r").read()
except:
    FLAG = "[**FLAG**]"


def read_url(url, cookie={"name": "name", "value": "value"}):
    cookie.update({"domain": "127.0.0.1"})
    try:
        options = webdriver.ChromeOptions()
        for _ in [
            "headless",
            "window-size=1920x1080",
            "disable-gpu",
            "no-sandbox",
            "disable-dev-shm-usage",
        ]:
            options.add_argument(_)
        driver = webdriver.Chrome("/chromedriver", options=options)
        driver.implicitly_wait(3)
        driver.set_page_load_timeout(3)
        driver.get("http://127.0.0.1:8000/")
        driver.add_cookie(cookie)
        driver.get(url)
    except Exception as e:
        driver.quit()
        # return str(e)
        return False
    driver.quit()
    return True


def check_xss(param, cookie={"name": "name", "value": "value"}):
    url = f"http://127.0.0.1:8000/vuln?param={urllib.parse.quote(param)}"
    return read_url(url, cookie)


@app.route("/")
def index():
    return render_template("index.html")


@app.route("/vuln")
def vuln():
    param = request.args.get("param", "")
    return param


@app.route("/flag", methods=["GET", "POST"])
def flag():
    if request.method == "GET":
        return render_template("flag.html")
    elif request.method == "POST":
        param = request.form.get("param")
        if not check_xss(param, {"name": "flag", "value": FLAG.strip()}):
            return '<script>alert("wrong??");history.go(-1);</script>'

        return '<script>alert("good");history.go(-1);</script>'


memo_text = ""


@app.route("/memo")
def memo():
    global memo_text
    text = request.args.get("memo", "")
    memo_text += text + "\n"
    return render_template("memo.html", memo=memo_text)


app.run(host="0.0.0.0", port=8000)

엔드 포인트 : /vuln

@app.route("/vuln") # vuln 페이지 라우팅
def vuln(): # vuln 함수 선언
    param = request.args.get("param", "") # 이용자가 입력한 vuln 인자를 가져옴
    return param # 이용자의 입력값을 화면 상에 표시

코드를 살펴보면, 이용자가 입력한 값을 param 파라미터에 저장하고, 이를 get을 통해 받아온다.

엔드 포인트 : /memo

@app.route("/memo") # memo 페이지 라우팅
def memo(): # memo 함수 선언
    global memo_text # 메모를 전역변수로 참조
    text = request.args.get("memo", "") # 이용자가 전송한 memo 입력값을 가져옴
    memo_text += text + "\n" # 이용자가 전송한 memo 입력값을 memo_text에 추가
    return render_template("memo.html", memo=memo_text)
    # 사이트에 기록된 memo_text를 화면에 출력

memo_text를 글로벌 변수로 선언하고 , 그 값을 memo 파라미터를 통해 받은 값 + "\n"으로 설정한다.
그 이후 memo.html 파일에 memo를 저장한다.

엔드 포인트 : /flag

def read_url(url, cookie={"name": "name", "value": "value"}):
    cookie.update({"domain": "127.0.0.1"})
    try:
        options = webdriver.ChromeOptions()
        for _ in [
            "headless",
            "window-size=1920x1080",
            "disable-gpu",
            "no-sandbox",
            "disable-dev-shm-usage",
        ]:
            options.add_argument(_)
        driver = webdriver.Chrome("/chromedriver", options=options)
        driver.implicitly_wait(3)
        driver.set_page_load_timeout(3)
        driver.get("http://127.0.0.1:8000/")
        driver.add_cookie(cookie)
        driver.get(url)
    except Exception as e:
        driver.quit()
        # return str(e)
        return False
    driver.quit()
    return True
    
def check_xss(param, cookie={"name": "name", "value": "value"}):
    url = f"http://127.0.0.1:8000/vuln?param={urllib.parse.quote(param)}"
    return read_url(url, cookie)
    
@app.route("/flag", methods=["GET", "POST"])
def flag():
    if request.method == "GET":
        return render_template("flag.html")
    elif request.method == "POST":
        param = request.form.get("param")
        if not check_xss(param, {"name": "flag", "value": FLAG.strip()}):
            return '<script>alert("wrong??");history.go(-1);</script>'
        return '<script>alert("good");history.go(-1);</script>'

코드를 살펴보면, 메소드에 따른 요청마다 다른 기능을 수행하는 것을 알 수 있다.

GET : 이용자에게 URL을 입력받는 페이지를 제공한다

POST : param 파라미터에 값과 쿠키에 FLAG를 포함해 check_xss 함수를 호출한다. check_xss는 read_url 함수를 호출해 vuln 엔드포인트에 접속한다.

check_xss 함수

param 파라미터와 cookie를 인자로 받고, 이 함수를 호출한 /flag에서 cookie에 FLAG를 넣어놓았다.
이후 url에 이용자가 입력한 값을 param에 넣고 vuln페이지에 넣어준다.
그 이후 read_url(url, cookie(=FLAG))를 실행한다.

read_url 함수

read_url 함수는 관리자 권한으로 작동되는 웹드라이버이다. driver.add_cookie(cookie)를 통해 cookie가 만들어지고, driver.get(url)을 통해 실행된다.

취약점 분석

코드 분석은 끝이 났으니 취약점을 찾아 FLAG 값을 얻어와야한다.
그 방법은 아래와 같다.

• vuln과 memo 엔드포인트는 이용자의 입력값을 페이지에 출력한다.
• memo는 render_template 함수를 사용해 memo.html을 출력한다.
• render_template 함수는 전달된 템플릿 변수를 기록할 때 HTML 엔티티코드로 변환해 저장하기 때문에 XSS가 발생하지 않는다.
• 그러나 vuln은 이용자가 입력한 값을 페이지에 그대로 출력하기 때문에 XSS가 발생한다.

location.href 사용법

그렇기에 flag 페이지에 아래 코드를 넣어주면 된다.

<script>location.href="/memo?memo="+document.cookie</script>

이러면 flag 페이지에 입력한 값을 check_xss함수에서 cookie로 받고, read_url 함수로 넘어간다.
read_url 함수에서는 add_cookie(cookie)와 get(url)을 통해 접근하는 것을 확인할 수 있으므로 memo를 사용하여 FLAG 값을 얻을 수 있다.