[dreamhack] level 1 xss-1

/vuln	사용자가 입력한 파라미터대로 출력해준다.
/memo	memo= 에 입력한 값을 그대로 출력해준다.
/flag	전달된 url에 사용자가 접속하도록 한다.

 

/vuln

@app.route("/vuln")
def vuln():
    param = request.args.get("param", "")
    return param

get 방식으로 param을 이용자에게 입력받고 param의 값을 출력한다.

 

/memo

@app.route("/memo")
def memo():
    global memo_text
    text = request.args.get("memo", "")
    memo_text += text + "\n"
    return render_template("memo.html", memo=memo_text)

이용자가 memo에 전달한 값을 render_template 함수를 통해 출력한다. 그리고 사용자가 입력한 값을 memo 변수에 저장한다.

 

 

/flag

def read_url(url, cookie={"name": "name", "value": "value"}):
    cookie.update({"domain": "127.0.0.1"})
    try:
        service = Service(executable_path="/chromedriver")
        options = webdriver.ChromeOptions()
        for _ in [
            "headless",
            "window-size=1920x1080",
            "disable-gpu",
            "no-sandbox",
            "disable-dev-shm-usage",
        ]:
            options.add_argument(_)
        driver = webdriver.Chrome(service=service, options=options)
        driver.implicitly_wait(3)
        driver.set_page_load_timeout(3)
        driver.get("http://127.0.0.1:8000/")
        driver.add_cookie(cookie)
        driver.get(url)
    except Exception as e:
        driver.quit()
        # return str(e)
        return False
    driver.quit()
    return True

def check_xss(param, cookie={"name": "name", "value": "value"}):
    url = f"http://127.0.0.1:8000/vuln?param={urllib.parse.quote(param)}"
    return read_url(url, cookie)

@app.route("/flag", methods=["GET", "POST"])
def flag():
    if request.method == "GET":
        return render_template("flag.html")
    elif request.method == "POST":
        param = request.form.get("param")
        if not check_xss(param, {"name": "flag", "value": FLAG.strip()}):
            return '<script>alert("wrong??");history.go(-1);</script>'

        return '<script>alert("good");history.go(-1);</script>'

GET 방식으로 flag.html을 이용자에게 제공한다. 그리고 POST 방식으로 param에 name:flag로, value는 flag로 플래그를 check_xss 함수에 전달함. check_xss 함수는 url에 param의 값을 전달하고 read_url 함수를 통해 /vuln에 접속한다.

 

취약점 분석

vuln과 memo에서는 이용자가 입력한 값을 페이지에 출력해준다. 하지만 /memo의 경우에는 render_template 함수를 사용한다. render_template 함수는 전달된 템플릿 변수를 기록할때 HTML 엔티티코드로 변환해 저장하기 때문에 xss가 발생하지 않는다. 하지만 vuln 함수에서는 render_template를 사용하지 않고 그대로 출력하기 때문에 xss가 발생한다.

 

익스플로잇

/vuln 엔드포인트에서 XSS 공격이 가능하기 때문에 해당 페이지를 통해 이용자의 쿠키를 탈취하여 flag를 획득해야한다. 쿠키를 탈취하기 위해서는 memo 페이지를 이용하는 방법과, 웹서버를 사용하는 방법이 있다.

 

memo 사용

<script>location.href="/memo?memo="+ document.cookie;</script>

flag 엔드포인트에서 위와 같이 페이로드를 작성하면 memo 페이지에 flag가 출력된 것을 확인할수 있다.

<location.href는 페이지를 이동하는 함수>

 

웹서버 이용

위와 같이 입력하고 드림핵의 request bin 웹페이지를 사용하면

이와 같이 flag가 기록된 것을 확인할수 있다.