[SegFault] (CSRF) - GET Admin 1

[SegFault] (CSRF)

GET Admin 1

admin 계정을 탈취해 로그인하면, flag를 획득할 수 있습니다.

문제 파악

본 문제의 경우 CSRF 취약점을 이용하여 비밀번호를 원하는 비밀번호로 변경하는 스크립트를 삽입하고, 관리자 visit Bot에 해당 링크를 입력하여 admin 계정의 비밀번호를 변경하여 해당 계정으로 로그인하면 flag가 나오도록 이루어져있다.

우선 위의 관리자 visit Bot 링크에 접속하면 다음과 같은 페이지가 나온다.

회원가입한 id의 뒤에 _amdin을 붙여넣은 id가 공격할 id 이다.

ex) gear -> gear_admin

공격할 아이디와 CSRF 공격 정보가 담겨있는 URL을 입력하면 해당 아이디의 비밀번호가 변경되게 된다.

문제 링크에 접속을 해보면 다음과 같은 창이 나온다.

우선 회원가입 후 로그인을 시도해본다.

비밀번호를 변경하는 CSRF 취약점을 이용할 것이므로 우선 마이페이지에 들어가서 비밀번호 변경을 시도하여 그 과정을 확인해본다.

비밀번호 변경 과정을 확인하기 위해 비밀번호를 변경해보고 이를 Burp를 이용하여 확인한다.

위와 같이 요청을 보면 pw 파라미터에 변경하는 비밀번호가 입력되어 들어가는 것을 확인할 수 있다.

그 결과 위와 같이 '회원 정보 수정에 성공하였습니다!' 라는 알림과 함께 비밀번호가 변경되는 것을 확인할 수 있다.

 

CSRF Point (인증 정보)

위의 비밀번호를 변경하는 일련의 과정을 보면, 추가적으로 인증하는 인증 정보 없이 변경 요청이 가능하다.

 

CSRF Point (Method Change)

해당 요청의 경우 POST Method로 이루어져 있다. URL로서 이용 가능 여부를 확인하기 위해 GET Method 로 변조하여 요청이 동일하게 가능한지 확인해본다.

POST Method의 요청을 GET Method로 변경하여 요청한 결과 POST와 동일한 결과가 나온 것을 확인할 수 있다.

 

XSS Point

XSS를 활용하지 않는 CSRF 취약점은 URL을 클릭하도록 유도해야한다. 하지만 XSS 취약점이 존재한다면 제로클릭을 구현할 수 있다.

그러므로 공지사항의 글쓰기 기능을 이용하여 XSS가 가능한지 확인해보기 위해 스크립트에 영향을 줄 수 있는 특수 문자< ' " >를 입력하여 확인해본다.

응답(Response)을 확인해본 결과 글의 내용 부분에서 입력 값이 그대로 출력되고 있는 것을 확인하였다.

---

풀이 과정 (해결 방안)

GET Method (with XSS)

GET Method로의 변조가 가능하므로 이에 따른 페이로드(Payload)를 작성한다.

페이로드(Paylaod) - GET

<img src=x onerror="change()">
<script>
function change(){
var i = new Image();
i.src = "http://ctf.segfaulthub.com:7575/csrf_1/mypage_update.php?id=&info=&pw=1234"}
</script>

img 태그를 이용하여 image를 불러오지 못해 에러를 발생시켜 스크립트 내부의 함수를 실행시켜 비밀번호를 변경한다.

글쓰기의 내용 부분에 페이로드(Payload)를 삽입한다. 이후 해당 글에 접근해보면 다음과 같다.

글의 내용에는 에러난 img가 보이고 Burp를 통해 보면 다음과 같다.

이후의 진행을 보면 다음과 같이 글에 접근하고, 이미지를 불러오지 못하여 스크립트가 실행되고 내부의 함수를 통해 비밀번호의 변경이 이루어진다.

위와 같이 성공적으로 비밀번호의 변경이 완료된 것을 확인할 수 있다.

---

POST Method (with XSS)

POST Method를 이용하는 비밀번호 변경을 위한 페이로드(Payload)를 작성한다.

페이로드(Paylaod) - POST

<iframe name="stealthFrame" sandbox="allow-scripts" style="display:none"></iframe>
<body onload="document.getElementById('tempForm').submit();">
<form method="POST" action="http://ctf.segfaulthub.com:7575/csrf_1/mypage_update.php"
 id="tempForm" target="stealthFrame">
<input type="hidden" name="pw" value="1234"/>
</form>

iframe을 이용하여 업데이트 페이지에 비밀번호 파라미터를 입력하는 방식을 이용하여 비밀번호를 변경한다.

글쓰기의 내용 부분에 페이로드(Payload)를 삽입한다. 이후 해당 글에 접근해보면 다음과 같다.

스크립트로서 활성화 되어 내용에는 아무것도 보이지 않지만 Burp를 통해 확인하면 다음과 같다.

이후의 진행을 보면 다음과 같이 글에 접근하고, iframe을 통해 업데이트 페이지에 접근한 후, 마이페이지로 돌아가는 동작이 있지만, allow-scripts를 이용하여, 실행은 되지만 실제로 리디렉션 되지는 않는다.

위와 같이 성공적으로 비밀번호의 변경이 완료된 것을 확인할 수 있다.

---

관리자의 접근 유도

이제 위의 글에 접근하는 URL을 관리자 visit Bot에 넣어준다.

이후 로그아웃을 하고 관리자 계정으로의 로그인을 시도한다.

관리자 계정을 변경시킨 비밀번호로 입력하여 로그인하면 성공적으로 로그인되고 다음과 같이 알림창에 Flag값이 출력되는 것을 확인할 수 있다.

위와 같이 관리자 계정으로의 로그인을 통해 flag 값이 획득되는 것을 확인할 수 있다.

---

취약점에 관한 고찰

본 문제의 경우 비밀번호 변경에 있어 추가적인 인증정보 없이 변경이 가능하여 발생한 CSRF 취약점이다.
또한 게시글의 내용에 스크립트가 삽입 가능한 XSS 취약점을 함께 사용하여 CSRF(with XSS) 취약점으로서 이용한다.
CSRF는 스크립트가 삽입된 글에 접근하는 모든 이용자의 비밀번호를 강제로 변경시킬 수 있는 위험한 취약점으로서 비밀번호 변경과 같은 중요정보에 대하여 접근시 추가적인 인증 절차를 구현해야한다.

---

질문 환영, 수정 및 보완에 대한 지적 환영