[wargame] 드림핵 xss-2 문제풀이

겉보기엔 xss-1 예제와 비슷하다.

xss-1 예제에서는 memo 페이지 엔드포인트에 document.cookie로 쿠키를 탈취해 파라미터로 보내주었다.

이번에도 똑같이 해주었지만...FLAG가 얻어지지 않는다...(OMG🥹)

거저먹기 실패했으니 처음부터 코드를 살펴보자

파일을 다운 받아 app.py를 열어주면 vuln 페이지와 memo 페이지 모두 render_template을 사용하고 있는 것을 알 수 있다.

@app.route("/")
def index():
    return render_template("index.html")


@app.route("/vuln")
def vuln():
    return render_template("vuln.html")

render_template 함수란?

Flask 웹 프레임워크에서 제공하는 함수로, Jinja2 템플릿 엔진을 사용하여 HTML 템플릿 파일을 렌더링. 주어진 템플릿 파일의 이름과 함께 전달된 변수나 값들을 템플릿에 적용하여 완성된 HTML을 생성.
render_template 함수를 사용하면, 전달된 템플릿 변수가 기록될 때 HTML 엔티티코드로 변환해 저장되기 때문에 XSS가 발생하지 않게 됨. 즉, 이용자가 입력한 값을 페이지에 그대로 출력하지 않음.

즉 기존에 했던 <script> 방식으로는 쿠키를 탈취할 수 없다.

취약점 분석

vuln 페이지를 개발자도구를 키고 살펴보면 아래와 같은 취약점을 발견할 수 있다.

<script>
    var x = new URLSearchParams(location.search); 
    document.getElementById('vuln').innerHTML = x.get('param');
</script>

코드에 대해 설명하면,

location 객체는 브라우저의 현재 주소(URL) 정보를 담고 있음
그중에서도 location.search는 URL의 "?" 뒤에 있는 쿼리 문자열(query string) 을 반환
URLSearchParams는 쿼리 문자열을 분석하고 다루기 쉽게 만들어 주는 객체
이 객체를 사용하면 param 같은 특정한 값을 쉽게 가져올 수 있음
get() 메서드는 쿼리 문자열에서 특정한 키(key)에 해당하는 값을 가져오는 역할
위 코드에서는 param이라는 키의 값을 가져옴.
document.getElementById('vuln')
→ HTML 문서에서 id="vuln"인 요소를 찾음
innerHTML = x.get('param')
→ 찾은 요소의 innerHTML을 param 값으로 변경함

즉 현재 페이지의 URL 쿼리 문자열에서 param 파라미터의 값을 추출하고, 해당 값을 페이지 내의 vuln 이라는 ID를 가진 요소의 내부 HTML로 설정하는 코드이다.

cf) HTML 문서의 구조나 내용을 프로그래밍적으로 조작할 수 있는 주요 코드

var content = document.getElementById('example').innerHTML;	읽기: 요소의 내부 HTML을 가져옵니다.
document.getElementById('example').innerHTML = 'New Content';	쓰기: 요소의 내부 HTML을 변경합니다.

문제 해결

flag 페이지의 param에 아래 코드를 작성해준다.

<img src="XSS-2" onerror="location.href='/memo?memo='+document.cookie">

script 태그 대신 img 태그를 사용한다. 이렇게 하면 vuln 페이지에 XSS-2라는 src를 가진 이미지를 삽입하려 한다.

물론 이런 이미지는 없으므로 이미지 삽입에 실패하게 되고 그럼 onerror(에러가 일어났을 때 실행)에 따라 memo 엔드포인트에 쿠키를 탈취해 파라미터로 전달하게 된다.

QnA

Q: vuln 페이지에서render_template을 사용. 그래서 <script>를 이용한 쿠키 탈취가 안되고 대신 innerHTML이 가진 취약점을 이용해서 <img src="XSS-2" onerror="location.href='/memo?memo='+document.cookie">로 쿠키를 탈취했음. 근데 script는 안되면서 img src는 가능한 이유가 뭘까?

A: innerHTML은 HTML 태그를 문자열이 아니라 실제 HTML 요소로 해석, innerHTML이 <img> 태그를 문자열이 아니라 실제 HTML 요소로 변환해 브라우저가 실행.

저작자표시 비영리 변경금지 (새창열림)

'🕸️ 웹 해킹' 카테고리의 다른 글

[wargame] 드림핵 xss-1 문제풀이 (0)	2025.03.06
Cross-Site Scripting (XSS) 개념 정리 (0)	2025.03.05
웹 브라우저 보안 정책 SOP, CORS, JSONP 개념 정리 (0)	2025.03.05
[wargame] Dreamhack 문제풀이: session-basic (0)	2025.03.05
[wargame] 드림핵 beginner cookie 문제풀이 (0)	2025.03.03

burnt$parr0w_SecLogs👶🏾🔐

[wargame] 드림핵 xss-2 문제풀이

취약점 분석

문제 해결

QnA

'🕸️ 웹 해킹' 카테고리의 다른 글

티스토리툴바

[wargame] 드림핵 xss-2 문제풀이

취약점 분석

문제 해결

QnA

'🕸️ 웹 해킹' 카테고리의 다른 글

관련글

티스토리툴바