Web_hacking/Dreamhack_wargame

드림핵 XSS bypass 풀이

KSJ._.seven11 2023. 1. 13. 13:00

Vuln page에서는 dreamhack 이미지 로고를 불러오고 있다. 우선 소스코드들을 먼저 봐보자.

#!/usr/bin/python3
from flask import Flask, request, render_template
from selenium import webdriver
import urllib
import os

app = Flask(__name__)
app.secret_key = os.urandom(32)

try:
    FLAG = open("./flag.txt", "r").read()
except:
    FLAG = "[**FLAG**]"


def read_url(url, cookie={"name": "name", "value": "value"}):
    cookie.update({"domain": "127.0.0.1"})
    try:
        options = webdriver.ChromeOptions()
        for _ in [
            "headless",
            "window-size=1920x1080",
            "disable-gpu",
            "no-sandbox",
            "disable-dev-shm-usage",
        ]:
            options.add_argument(_)
        driver = webdriver.Chrome("/chromedriver", options=options)
        driver.implicitly_wait(3)
        driver.set_page_load_timeout(3)
        driver.get("http://127.0.0.1:8000/")
        driver.add_cookie(cookie)
        driver.get(url)
    except Exception as e:
        driver.quit()
        # return str(e)
        return False
    driver.quit()
    return True


def check_xss(param, cookie={"name": "name", "value": "value"}):
    url = f"http://127.0.0.1:8000/vuln?param={urllib.parse.quote(param)}"
    return read_url(url, cookie)

def xss_filter(text):
    _filter = ["script", "on", "javascript"]
    for f in _filter:
        if f in text.lower():
            text = text.replace(f, "")
    return text

@app.route("/")
def index():
    return render_template("index.html")


@app.route("/vuln")
def vuln():
    param = request.args.get("param", "")
    param = xss_filter(param)
    return param


@app.route("/flag", methods=["GET", "POST"])
def flag():
    if request.method == "GET":
        return render_template("flag.html")
    elif request.method == "POST":
        param = request.form.get("param")
        if not check_xss(param, {"name": "flag", "value": FLAG.strip()}):
            return '<script>alert("wrong??");history.go(-1);</script>'

        return '<script>alert("good");history.go(-1);</script>'


memo_text = ""


@app.route("/memo")
def memo():
    global memo_text
    text = request.args.get("memo", "")
    memo_text += text + "\n"
    return render_template("memo.html", memo=memo_text)


app.run(host="0.0.0.0", port=8000)

 

먼저 vuln 페이지에서

XSS 필터링을 하는 것을 볼 수 있기에 우회 구문을 삼입해야한다.

 

XSS 1번 문제와 2번 문제에서 썻던 <script>location.href="" + document.cookie</script> 를 사용하려면 해당 필터링을 우회해야한다. ( 그 밖에는 XSS-1 , XSS-2 와 크게 다를바가 없다. )

 

우선 이렇게 코드를 작성해 보는 것은 어떨까?

 

<scrionpt>alert(1)</scrionpt>

그렇다면 먼저 on이 필터링이 되어 삭제되고 <script> 코드는 남아 작동할 수 있지 않을까? 먼저 테스트를 했다.

 

작동하는 것을 볼 수 있다. ( 코드를 보면 반복문 형식으로 XSS필터링을 하는데 이전 반복문에서 걸리는 on을 삭제했기에 지나가 버려 script가 필터링이 되지 않는다.)

 

그렇다면 <script> 구문을 사용하는 방법을 찾아냈다.

 

이후로 location.href 줄을 작성할때 on이 포함되어 있어 이 부분또한 우회해야되는 것을 추측할 수 있다.

 

하지만 <script> 코드를 <scrionpt> 구문으로 우회를 한 방식과 똑같이 적용 한다면 

 

<scrionpt>looncatioonn.href="/memo?memo=" + document.cookie</scrionpt>

구문을 넣으면 되지 않을까? looncation에서 on이 삭제되어 location이 성립되기를 바랄 뿐이다.

 

그렇게 flag페이지에서 코드를 실행시키니

 

플래그를 획득할 수 있었다.