[SegFault] (Authorization) - authorization 3

[SegFault] Authorization

authorization 3

미사일 발사 버튼을 클릭하세요!

문제 파악

위의 페이지에 들어가면 아래와 같이 나온다.

'Fire' 버튼을 눌렀을 때 '권한이 없습니다.' 라는 알림창만 나오게 된다.

해당 요청을 Burp를 이용하여 살펴보면 다음과 같다.

위의 요청에서 보면 버튼을 눌렀을 때의 동작을 확인할 수 있다.

onclick="goMenu('9999', ' ')"

해당 버튼을 눌렀을 때의 goMenu 의 경우 user.js에서 동작하는 것을 확인할 수 있었다.

user.js의 goMenu 9999를 살펴보면 다음과 같다.

위와 같이 해당 메뉴에 대한 정보는 난독화를 통해 알기 어렵게 쓰여져 있었다.

하지만 중요한 것은 해석하는 것이 아니라는 생각을 해야한다.

물론 난독화를 풀어보고, 내용을 알아내는 것도 필요할 수 있지만,  이 문제에서는 해당 switch-case문이 들어있는 함수 guMenu를 살펴보면 된다.

 

---

생각과정

goMenu 함수가 파라미터로서 code 와 userLevel을 받고 있는 것을 확인할 수 있다.
code는 switch-case문의 파라미터인 것을 확인할 수 있다.

앞서서 확인한 버튼 oncilck 부분을 살펴보면 onclick="goMenu('9999', ' ')" 로서 userLevel 부분이 비어져 있는 상태로 전달 되는 것을 볼 수 있다.
그러므로 관리자인 admin을 해당 파라미터 부분에 넣어 주어 goMenu('9999', 'admin') 으로 바꾸어 요청해주면 된다는 생각을 해 볼 수 있다.

---

풀이 과정 (해결 방안)

Burp Suite의 intercept를 이용하여 요청을 다음과 같이 변조해준다.

goMenu 에 userLevel을 넣어주어 보낸 후 버튼을 눌러본다.

그럼 다음과 같이 flag가 나오는 알림창을 확인할 수 있다.

---

취약점에 관한 고찰

난독화를 통해 알아보기 어렵게 만든 코드

js 코드 내부를 난독화 시킨다고 해결 되는 것은 아니다.

부분적으로 난독화 시키더라도 중요한 함수나, 파라미터 등이 그대로 노출되어 있다면 그 부분만을 보고도 우회의 방향성을 찾을 수 있다는 것이다.

일반적으로 난독화를 하더라도, 부분적으로 알아 볼 수 있는 것들이 있기 때문에 그런 부분을 확인해 봐야한다.

---

 

질문 환영, 수정 및 보완에 대한 지적 환영