XSS Challenges 13

13단계 메인 페이지를 확인해보면 전 단계와 유사한 디자인을 가지고 있으며, 12단계에서 사용된 Payload가 동작할 수도 동작하지 않을 수도 있다는 내용이 담겨있습니다. 제가 사용했던 Payload는 동작하지 않았으므로 코드를 살펴보겠습니다.

 

동일하게 <iframe> 태그를 통해 untrusted 도메인이 선언되어 있습니다.

 

스크롤이 너무 남아 밑으로 내려보니 <script 태그 안에 1evel12.js 관련 파일이 존재합니다.(여긴 level 13인디..?)

 

js 파일 내부에 들어가 보니 function 안에 오리진 속성이 존재하네요. untrusted.sudo.co.il 에 발생된 팝업창을 메인 페이지의 바디 영역으로 가져올 수 있을 것 같습니다. 참고로 자바스크립트의 append 함수는 지정된 영역의 끝에 새로운 콘텐츠를 추가할 수 있는 기능을 가지고 있습니다. 그럼 이번에는 별도의 공격자 서버 로드하는 방식이 아닌 untrusted를 선 점령 후 호출해보겠습니다.

 

참조 페이지의 코드를 확인해보면 이전 단계와 동일 코드를 가지고 있습니다. 먼저 차이점을 파악해야 그에 걸맞은 우회 패턴을 적용할 수 있을 것 같습니다.

 

이전 단계에서는 "alert" 문자열에 대해 예외처리를 하고 있었지만 13단계에서는 "()" 괄호까지 필터링하고 있습니다.

 

alert 문자열은 Unicode와 혼합하여 난독화를 해주고 () 괄호 검증에 있어서는 -> ` (백 쿼터)를 사용해주면 팝업창은 무리 없이 띄울 수 있지만 뭔가 다른 방식을 통해 m 변수에 선언된 "Good Luck!"을 띄워주고 싶습니다.

 

() Bypass

기본적으로 " () " 괄호 필터링의 우회 기법을 " `(Back Quote)" 로 많이 사용하지만 이 방법 이외에 아래와 같은 2가지 속성을 이용해 괄호 사용을 피할 수 있습니다.

 

1. Constructor Function(생성자 함수)

   - Set.constructor(Set이라는 내장 함수의 생성자를 설정)

2. Timer Function(타이머 함수)

   - setTimeout(함수, 시간) -> 일정 시간 후 실행

   - setInterval(함수, 시간) -> 일정 시간 간격으로 반복 실행

3. Ecama Script의 AutoType Casting 특성을 활용한 " () " 이스케이프(HEX Ascii, Octal, Unicode) 처리

Constructor Payload

Set.constructor`al\u0065rt\`Call\````
=> Set이라는 내장 함수의 동작을 ale(Unicode Escaping처리)rt(Call)로 설정 후 실행(백 쿼터로 감싸 줌으로써 함수에 인자를 전달&함수 실행) -> 마치 ("alert(Call)")() 같은 형태

Set.constructor`al\u0065rt\u0028Call\u0029```
=> \x28(Hex Ascii) \50(Octal) \u0028(Unicode) ==> (
    \x29(Hex Ascii) \51(Octal) \u0029(Unicode) ==> )

Timer Payload

setTimeout`al\u0065rt\28Call\x29`
setInterval`al\u0065rt\x28Call\x29`
=> \x28(Hex Ascii) \50(Octal) \u0028(Unicode) ==> ( 
    \x29(Hex Ascii) \51(Octal) \u0029(Unicode) ==> )

';setInterval`al\u0065rt\x28m\x29'; //

이러한 우회 패턴을 활용하여 "m" 변수에 담긴 Good Luck! 호출을 성공적으로 마칠 수 있습니다.

 

sudo.co.il 메인 페이지로 넘어와 위의 구문을 넣어보면 <iframe> 태그를 통해 untrusted 쪽 도메인으로 전달되게 되며 스크립트를 불러오게 될 것입니다.

 

괄호를 검증하고 있는 상태에서 공격 구문을 완성시키 위해서는 백 쿼터 이외에 내장 함수와 이스케이프 처리된 문자열을 이용하여 우회가 가능하다는 것을 기억해두시기 바랍니다!!