[Dreamhack] Level 1: xss-1

1. 문제

https://dreamhack.io/wargame/challenges/28

xss-1

---

2. 해결 과정

 

(1) 문제 파일 다운로드 

#!/usr/bin/python3
from flask import Flask, request, render_template
from selenium import webdriver
from selenium.webdriver.chrome.service import Service
import urllib
import os

app = Flask(__name__)
app.secret_key = os.urandom(32)

try:
    FLAG = open("./flag.txt", "r").read()
except:
    FLAG = "[**FLAG**]"


def read_url(url, cookie={"name": "name", "value": "value"}):
    cookie.update({"domain": "127.0.0.1"})
    try:
        service = Service(executable_path="/chromedriver")
        options = webdriver.ChromeOptions()
        for _ in [
            "headless",
            "window-size=1920x1080",
            "disable-gpu",
            "no-sandbox",
            "disable-dev-shm-usage",
        ]:
            options.add_argument(_)
        driver = webdriver.Chrome(service=service, options=options)
        driver.implicitly_wait(3)
        driver.set_page_load_timeout(3)
        driver.get("http://127.0.0.1:8000/")
        driver.add_cookie(cookie)
        driver.get(url)
    except Exception as e:
        driver.quit()
        # return str(e)
        return False
    driver.quit()
    return True


def check_xss(param, cookie={"name": "name", "value": "value"}):
    url = f"http://127.0.0.1:8000/vuln?param={urllib.parse.quote(param)}"
    return read_url(url, cookie)


@app.route("/")
def index():
    return render_template("index.html")


@app.route("/vuln")
def vuln():
    param = request.args.get("param", "")
    return param


@app.route("/flag", methods=["GET", "POST"])
def flag():
    if request.method == "GET":
        return render_template("flag.html")
    elif request.method == "POST":
        param = request.form.get("param")
        if not check_xss(param, {"name": "flag", "value": FLAG.strip()}):
            return '<script>alert("wrong??");history.go(-1);</script>'

        return '<script>alert("good");history.go(-1);</script>'


memo_text = ""


@app.route("/memo")
def memo():
    global memo_text
    text = request.args.get("memo", "")
    memo_text += text + "\n"
    return render_template("memo.html", memo=memo_text)


app.run(host="0.0.0.0", port=8000)

 

 

vuln과 memo 페이지는 이용자의 입력값을 출력한다. 

memo는 render_template 함수를 사용해 memo.html을 출력하고. render_template 함수는 전달된 템플릿 변수를 기록할 때 HTML 엔티티코드로 변환해 저장하기 때문에 XSS가 발생하지 않는다.

그러나 vuln은 이용자가 입력한 값을 페이지에 그대로 출력하기 때문에 XSS가 발생한다.

@app.route("/vuln")
def vuln():
    param = request.args.get("param", "") # 이용자가 입력한 vuln 인자를 가져옴
    return param # 이용자의 입력값을 화면 상에 표시

 

 

(2) 페이지 접속

 

 

• vuln(xss) page에 들어가면 파라미터에 들어간 스크립트가 동작한다. 

 

• memo 화면
  • memo 함수는 flag 에 입력한 값이 성공시 출력되는 페이지이다.

 

• flag 화면
  • flag 함수는 스크립트 언어를 기입하여, vuln 페이지의 파라미터를 조작하여 공격하는 페이지이다.

 

코드를 살펴보면, 메소드에 따른 요청마다 다른 기능을 수행하는 것을 알 수 있다.

GET은 이용자에게 URL을 입력받고, 

POST는 params 파라미터에 값과 쿠키에 FLAG를 포함해 check_xss 함수를 리턴한다.

 

check_xss는 read_url 함수를 호출해 로컬 페이지의 vuln 페이지에 접속한다.  

 

여기서 read_url에 대해 이해하기 전에 셀레니움에 대해서 이해하고 넘어가야 한다.

 

셀레니움 (Selenium)은 웹 애플리케이션 테스팅에 사용되는 파이썬 모듈로, 응답에 포함된 Javascript, CSS와 같은 웹 리소스를 웹 드라이버를 통해 해석하고 실행하기 때문에 웹 브라우저를 통해 페이지를 방문하는 것과 같은 역할을 한다.

 

1. 쿠키 설정:
   • cookie={"name": "name", "value": "value"}: 함수 인자로 기본 쿠키를 받는다. 
   • cookie.update({"domain": "127.0.0.1"}): 쿠키에 도메인을 추가한다. 이 경우, 로컬 호스트 주소인 127.0.0.1을 사용한다.
2. 웹 드라이버 설정:
   • Service(executable_path="/chromedriver"): Selenium에서 Chrome 웹 드라이버의 위치를 지정한다.
   • webdriver.ChromeOptions(): 크롬 옵션을 설정하기 위한 인스턴스를 생성한다.
   • 옵션 추가: 여러 가지 크롬 옵션을 추가하여 브라우저의 동작을 조정한다. 예를 들어 headless 모드는 GUI 없이 브라우저를 실행하며, window-size=1920x1080는 창 크기를 지정한다.
3. 웹 드라이버 초기화 및 설정:
   • webdriver.Chrome(service=service, options=options): 설정한 옵션과 서비스를 사용하여 Chrome 드라이버 인스턴스를 생성한다.
   • driver.implicitly_wait(3): 웹 요소가 로드될 때까지 최대 3초간 대기한다.
   • driver.set_page_load_timeout(3): 페이지 로드 시간 제한을 3초로 설정한다.
4. 웹 페이지 접속:
   • driver.get("http://127.0.0.1:8000/"): 먼저 로컬 서버의 루트 URL로 이동한다. 이 단계는 쿠키를 설정하기 위한 초기 접근 단계로 사용된다.
   • driver.add_cookie(cookie): 앞서 준비한 쿠키를 브라우저 세션에 추가한다.
   • driver.get(url): 실제로 접근하고자 하는 웹 페이지로 이동한다. 여기서 url은 함수 인자를 통해 받은 대상 주소이다.
5. 예외 처리

즉, flag 페이지에서 vuln 페이지의 취약점을 이용하여 flag의 value(쿠키값)을 탈취하고 이를 memo 페이지에 출력한다.

 

flag 페이지에서 다음과 같은 익스플로잇 코드를 입력한다. 

vuln 페이지의 취약점을 이용해 로컬의 메모 페이지의 파라미터에 쿠키값을 붙여 이동하도록 하는 것이다.

<script>location.hraf = "http://127.0.0.1:8000/memo?memo="+document.cookie</script>