XSS-Game Level 3

설명(번역)

이전 수준에서 보았 듯이 일반적인 JS 함수 중 일부는  실행 싱크로  브라우저가 입력에 나타나는 모든 스크립트를 실행하도록 합니다. 사실은 내부적으로 이러한 기능 중 하나를 사용하는 상위 수준 API에 의해 숨겨집니다. 이 수준의 응용 프로그램은 이러한 숨겨진 싱크를 사용하고 있습니다.
 
임무 목표 : 이전과 마찬가지로 스크립트를 삽입 alert() 하여 앱에서 JavaScript를 팝업 합니다.
애플리케이션의 어느 곳에도 페이로드를 입력할 수 없으므로 아래 URL 표시 줄에서 주소를 수동으로 수정해야 합니다.

 

해당 페이지는 별다른 컨텐츠나 이벤트적인 요소가 보이지 않는 정적인 페이지입니다. 이러한 페이지의 경우 " Reflected " 같은 반사형 공격을 시도해야 합니다.

 

보통 이럴경우 상단 URL의 주소 값에 악의적인 스크립트 문이 삽입되어야 하는데, " 페이지 소스 " 분석을 통해 취약한 검증 또는 hidden으로 노출되지 않은 매개변수를 찾아서 해당 도메인에 " GET " 방식으로 삽입해서 실행시키면 됩니다.

 

* 또한 특수문자 관련하여 어떤 문자를 필터링하는지 여부에 따라서도 사용되는 구문이 달라집니다

 

..
..

window.onload = function() { 
        chooseTab(unescape(self.location.hash.substr(1)) || "1");
      }
 <script>
      function chooseTab(num) {
        // Dynamically load the appropriate image.
        var html = "Image " + parseInt(num) + "<br>";
        html += "<img src='/static/level3/cloud" + num + ".jpg' />";
        $('#tabContent').html(html);
..
..

해당 페이지의 소스코드는 URL 일부분을 가져와서 Choosetab 함수로 전달하고 있는 것 을 확인할 수 있습니다. 또한 주소부분에 "이미지 태그 같은 "html" 코드 함께 사용되는 것을 확인할 수 있으니 전 단계와 마찬가지로 <img src를 사용하여 공격할 수 있습니다.

 

 

힌트

1. 버그의 원인을 찾으려면 JavaScript를 검토하여 사용자 제공 입력을 처리하는 위치를 확인하십시오2.window.location개체의 데이터 는 공격자의 영향을 받을 수 있습니다.

3. 주입 지점을 식별했으면 새 HTML 요소를 몰래 들어가기 위해해야 ​​할 일에 대해 생각해보십시오.

4. 이전과 마찬가지로 <script> ...페이지가로드 된 후에 추가된 스크립트를 브라우저가 실행하지 않기 때문에 페이로드로 사용 하는 것은 작동하지 않습니다.

 

Exploit Code

<img src='x' onerror=alert(1)> # Success

 &<img src='x' onerror=prompt("xss")> # Success(Not Complete)

 

구분자를 사용하는 "&"를 사용하여 스크립트 문을 연계해봤는데 성공적으로 스크립트는 실행이 되나 출제자의 의도와는 조금 틀리게 접근해서 그런지 문제 성공이라는 문구는 나오지 않네요.