[SegFault] (CSRF)

Wargame & CTF/SegFault

[SegFault] (CSRF) - GET Admin 2

Gearvirus(junyup2) 2024. 1. 17. 23:08

GET Admin 2

admin 계정을 탈취해 로그인하면, flag를 획득할 수 있습니다.

문제 파악

본 문제의 경우 CSRF 취약점을 이용하여 비밀번호를 원하는 비밀번호로 변경하는 스크립트를 삽입하고, 관리자 visit Bot에 해당 링크를 입력하여 admin 계정의 비밀번호를 변경하여 해당 계정으로 로그인하면 flag가 나오도록 이루어져있다.

우선 위의 관리자 visit Bot 링크에 접속하면 다음과 같은 페이지가 나온다.

회원가입한 id의 뒤에 _amdin을 붙여넣은 id가 공격할 id 이다.

ex) gear -> gear_admin

공격할 아이디와 CSRF 공격 정보가 담겨있는 URL을 입력하면 해당 아이디의 비밀번호가 변경되게 된다.

문제 링크에 접속을 해보면 다음과 같은 창이 나온다.

우선 회원가입 후 로그인을 시도해본다.

비밀번호를 변경하는 CSRF 공격을 할 것이므로 우선 마이페이지에 들어가서 비밀변경을 실제로 시도해보고 그 과정을 확인해본다.

비밀번호 변경 과정을 확인하기 위해 비밀번호를 변경해보고 이를 Burp를 통해 확인한다.

위와 같이 요청을 보면 pw 파라미터에 변경하는 비밀번호가 입력되어 들어가는 것을 확인할 수 있다.

이후의 과정을 살펴보면 다음과 같다.

마이페이지에서 비밀번호 변경을 요청하면, 비밀번호가 변경된 후, 로그아웃이 진행되고 초기페이지로 돌아간다.

CSRF Point (인증 정보)

위의 비밀번호를 변경하는 일련의 과정을 보면, 추가적으로 인증하는 인증정보 없이 변경 요청이 가능하다.

XSS Point

XSS를 활용하지 않는 CSRF 취약점은 URL을 클릭하도록 유도해야한다. 하지만 XSS 취약점이 존재한다면 제로클릭을 구현할 수 있다.

그러므로 공지사항의 글쓰기 기능을 이용하여 XSS가 가능한지 확인해보기 위해 스크립트에 영향을 줄 수 있는 특수 문자< ' " >를 입력하여 확인해본다.

응답(Response)을 확인해본 결과 글의 내용 부분에 입력값이 그대로 출력되고 있는 것을 확인하였다.

풀이 과정 (해결 방안)

비밀번호 변경을 위한 페이로드(Payload)를 작성한다.

페이로드(Payload)

<iframe name="stealthFrame" sandbox="allow-scripts" style="display:none"></iframe>
<body onload="document.getElementById('tempForm').submit();">
<form method="POST" action="http://ctf.segfaulthub.com:7575/csrf_2/mypage_update.php" id="tempForm" target="stealthFrame">
<input type="hidden" name="pw" value="1234">
</form>

iframe을 이용하여 비밀번호를 변경하는 페이지에 접근하여 변경하고 싶은 비밀번호로 변경한다.

스크립트 삽입

XSS 취약점이 존재하는 글쓰기 기능을 이용하여 해당 페이로드를 글의 내용에 삽입한다.

해당 글을 읽기 위해 접근해보면 다음과 같이 스크립트가 활성화되어 내용에 아무 것도 뜨지 않는 것을 확인할 수 있다.

이를 Burp를 이용하여 확인해보면 다음과 같다.

이후의 과정을 살펴보면 allow-scripts 를 이용함으로써 기존의 비밀번호 변경과 같이 비밀번호변경, 로그아웃, 초기페이지로의 리디렉션은 발생하지 않는다.

이제 해당 글에 접근하는 URL을 관리자 visit Bot에 넣어준다.

이후 로그아웃을 하고 관리자 계정으로의 로그인을 시도한다.

관리자 계정을 변경시킨 비밀번호를 입력하여 로그인하면 성공적으로 로그인되고 다음과 같이 알림창에 Flag값이 출력되는 것을 확인할 수 있다.

위와 같이 관리자 계정으로의 로그인을 통해 flag값이 획득되는 것을 확인할 수 있다.

취약점에 관한 고찰

본 문제의 경우 비밀번호 변경에 있어 추가적인 인증정보 없이 변경이 가능하여 발생한 CSRF 취약점이다.
또한 게시글의 내용에 스크립트가 삽입 가능한 XSS 취약점을 함께 사용하여 CSRF(with XSS) 취약점으로서 이용한다.
CSRF는 스크립트가 삽입된 글에 접근하는 모든 이용자의 비밀번호를 강제로 변경시킬 수 있는 위험한 취약점으로서 비밀번호 변경과 같은 중요정보에 대하여 접근시 추가적인 인증 절차를 구현해야한다.

질문 환영, 수정 및 보완에 대한 지적 환영

저작자표시

현재글[SegFault] (CSRF) - GET Admin 2

📓 Codegear_Archive

[SegFault] (CSRF) - GET Admin 2

[SegFault] (CSRF)

GET Admin 2

문제 파악

CSRF Point (인증 정보)

XSS Point

풀이 과정 (해결 방안)

페이로드(Payload)

스크립트 삽입

취약점에 관한 고찰

'Wargame & CTF/SegFault'의 다른글

티스토리툴바

[SegFault] (CSRF) - GET Admin 2

[SegFault] (CSRF)

GET Admin 2

문제 파악

CSRF Point (인증 정보)

XSS Point

풀이 과정 (해결 방안)

페이로드(Payload)

스크립트 삽입

취약점에 관한 고찰

'Wargame & CTF/SegFault'의 다른글

관련글

티스토리툴바