[wargame] 드림핵 xss-1 문제풀이

드림핵 워게임 level1 xss-1 문제에 대한 풀이이다.

 

문제 파일을 다운받고 app.py 파일을 열어주면 다음과 같은 페이지들이 라우팅 되고 있음을 확인할 수 있다. 

 

각 페이지의 기능을 정리하면 아래와 같다.

 

🤔 코드 분석

각 페이지의 기능을 정리하면 아래와 같다.  (드림핵 웹 해킹 강좌에서 이미 정리된 내용이다.)

페이지	기능
/	인덱스 페이지
/vuln	이용자가 입력한 값 출력
/memo	메모 작성 및 작성한 메모 출력
/flag	작성한 URL 전달

 

 

이제 코드에서 핵심 부분을 살펴보자.

@app.route("/vuln")
def vuln():
    param = request.args.get("param", "")
    return param

• request.args.get("param", "")는 HTTP 요청에서 쿼리 파라미터를 가져오는 코드
• 예를 들어, URL이 http://example.com/?param=test라면, request.args.get("param", "")는 "test" 값을 반환

 

def check_xss(param, cookie={"name": "name", "value": "value"}):
    url = f"http://127.0.0.1:8000/vuln?param={urllib.parse.quote(param)}"
    return read_url(url, cookie)

 

• param: 쿼리 파라미터로 전달할 값을 의미
• cookie: 쿠키 정보를 담고 있는 기본값이 {"name": "name", "value": "value"}인 딕셔너리
• 이 코드에서 url 변수는 param 값을 URL 쿼리 파라미터로 포함하는 URL을 생성함
• urllib.parse.quote(param)는 param 값을 URL 인코딩하여 쿼리 파라미터로 안전하게 전달할 수 있도록 함. 이는 특수 문자나 공백 등을 URL에 적합한 형식으로 변환하는 역할.
  • 예를 들어, param 값이 "hello world"라면, urllib.parse.quote(param)은 "hello%20world"로 변환.
• 최종적으로 생성되는 URL은 http://127.0.0.1:8000/vuln?param=<encoded_param> 형태

 

@app.route("/flag", methods=["GET", "POST"])
def flag():
    if request.method == "GET":
        return render_template("flag.html")
    elif request.method == "POST":
        param = request.form.get("param")
        if not check_xss(param, {"name": "flag", "value": FLAG.strip()}):
            return '<script>alert("wrong??");history.go(-1);</script>'

        return '<script>alert("good");history.go(-1);</script>'

• GET 요청이 들어오면, flag.html 템플릿을 렌더링하여 사용자의 브라우저로 반환. 즉, 사용자에게 웹 페이지를 보여주는 부분
• 사용자가 폼을 제출하면, POST 요청이 처리됨. 폼에서 제출된 param 값을 request.form.get("param")을 사용해 가져옴.
• if not check_xss(...):
  • check_xss가 False를 반환한다는 것은, param에 XSS 공격이 포함되어 있음을 의미.
  • 이 경우, 서버는 wrong??라는 메시지를 alert 창으로 표시하고, 사용자를 이전 페이지로 돌아가게 (history.go(-1)) 만듦

간단히 정리하면 memo와 vuln 페이지 모두 전달 받은 param을 화면에 출력하는데, param은 flag에서 cookie 값과 함께 xss를 확인하는 함수로 우선 보내지고, 문제가 생기지 않으면 read_url 함수로 보내져 각 페이지에 param을 전달하고 있다.

 

💭 문제 풀이를 위한 지식

 

문제를 풀려면 우선 아래 두 가지 속성값을 알고 있어야 한다. 

 

location.href: 전체 URL을 반환하거나, URL을 업데이트할 수 있는 속성값

document.cookie: 해당 페이지에서 사용하는 쿠키를 읽고, 쓰는 속성값

 

memo와 vuln 모두 flag에서 사용자가 입력한 값을 출력 하지만 쿠키를 탈취할 수 있는 페이지는 vuln 페이지일 뿐이다. 그 이유는 아래와 같은 차이점이 있기 때문이다.

• memo: render_template 함수를 사용해 memo.html을 출력, render_template 함수는 전달된 템플릿 변수를 기록할 때 HTML 엔티티코드로 변환해 저장하기 때문에 XSS가 발생하지 않음 (출처: 드림핵 웹 해킹 강의)
• vuln: 이용자가 입력한 값을 페이지에 그대로 출력, XSS 발생 가능

 

📌 문제 풀이

 

vuln 페이지에 쿠키를 탈취하기 위한 param을 전달한 뒤 탈취한 쿠키를 memo 페이지에서 보이게 해주면 된다. 

flag 페이지 param을 작성하는 부분에 아래와 같은 코드를 작성한다. 

<script>location.href = "/memo?memo=" + document.cookie;</script>

 

document.cookie 즉, 탈취한 쿠키가 담겨있는 파라미터를 memo 엔드포인트에 전달하면

memo 페이지는 전달받은 param을 보여준다.

 

memo 페이지에 보이는 FLAG