XSS Challenges 12

12단계는 다소 다른 모습의 페이지로 확인됩니다. 소스코드를 먼저 보면서 해결해나가 보도록 하겠습니다.

 

이전 단계에서는 자바스크립트에 선언된 변수를 활용해서 팝업창을 띄웠더라면 이제는 <ifram>의 태그에 부여된 주소를 활용하여 해결해야 되는 문제인 것 같습니다. src="" 속성에 부여된 untrusted 페이지로 이동해보겠습니다.

 

untrusted.so.co.il 페이지는 이전 단계에서 보여졌던 페이지들처럼 다소 심플한 화면을 띄우고 있습니다. 해당 페이지 소스코드를 확인해 보겠습니다.

 

위에서부터 확인해보시면 변수 m에는 'Good Luck!' String 문자열이 선언되어 있으며. php? p=에 입력된 Payload는 12번째 줄의 a 변수에 'Payload'; 형태로 삽입되고 있습니다. 기본적으로 " '; "를 최초 선언하여 입력 값을 닫아주고 원하는 구문을 넣어야 됩니다.

 

sudo.co.il 메인 페이지에서는 document.domain을 띄우라고 되어 있지만 저는 해당 코드 내부에 선언된 Good Luck! 을 출력하도록 하겠습니다.

 

"Hacking attempt!"가 나타나는 것으로 보아 "alert" 문자열을 예외처리하고 있는 것을 확인할 수 있습니다. 이제부터는 로직을 꼬아두는 것 이외에 필터링 처리도 동시에 진행되나 봅니다.

 

e -> \u0065(Unicode)
';al\u0065rt(m);//

alert를 검증하고 있다면 1차적으로 "prompt()" 또는 "confirm()"을 시도해볼 가치가 있습니다. 만약 모든 팝업 형태의 문자열을 검증하고 있다면 인코딩을 통해 앞단에서 문자열 체크를 피해 가도록 해야 됩니다.

 

alert의 "e" 문자열을 UTF-32 형식으로 유니코드 문자열로 변환할 경우 최초 문자열 검증 시 alert 체크 로직을 우회할 수 있습니다. 또한 이스케이프 처리된 문자열을 사용하기 위해선 "\" 백 슬러시가 우선적으로 선언되어야 합니다.

 

메인 페이지로 돌아와 코드를 삽입해보면 iframe 속성에 부여된 untruseted의 다이얼로그를 성공적으로 가져오게 됩니다. 해당 문제는 본문의 코드에 공략할 만한 포인트가 없거나 Content-Security-Policy 같은 정책으로 인해 실행을 못하더라도 허용된 참조 페이지의 취약점을 악용해 스크립트를 실행할 수 있다는 것을 알기 위함입니다.