문제 코드 :

#!/usr/bin/python3
from flask import Flask, request, render_template
from selenium import webdriver
from selenium.webdriver.chrome.service import Service
import urllib
import os

app = Flask(__name__)
app.secret_key = os.urandom(32)

try:
    FLAG = open("./flag.txt", "r").read()
except:
    FLAG = "[**FLAG**]"

def read_url(url, cookie={"name": "name", "value": "value"}):
    cookie.update({"domain": "127.0.0.1"})
    try:
        service = Service(executable_path="/chromedriver")
        options = webdriver.ChromeOptions()
        for _ in [
            "headless",
            "window-size=1920x1080",
            "disable-gpu",
            "no-sandbox",
            "disable-dev-shm-usage",
        ]:
            options.add_argument(_)
        driver = webdriver.Chrome(service=service, options=options)
        driver.implicitly_wait(3)
        driver.set_page_load_timeout(3)
        driver.get("<http://127.0.0.1:8000/>")
        driver.add_cookie(cookie)
        driver.get(url)
    except Exception as e:
        driver.quit()
        # return str(e)
        return False
    driver.quit()
    return True

def check_xss(param, cookie={"name": "name", "value": "value"}):
    url = f"<http://127.0.0.1:8000/vuln?param={urllib.parse.quote(param)}>"
    return read_url(url, cookie)

@app.route("/")
def index():
    return render_template("index.html")

@app.route("/vuln")
def vuln():
    param = request.args.get("param", "")
    return param

@app.route("/flag", methods=["GET", "POST"])
def flag():
    if request.method == "GET":
        return render_template("flag.html")
    elif request.method == "POST":
        param = request.form.get("param")
        if not check_xss(param, {"name": "flag", "value": FLAG.strip()}):
            return '<script>alert("wrong??");history.go(-1);</script>'

        return '<script>alert("good");history.go(-1);</script>'

memo_text = ""

@app.route("/memo")
def memo():
    global memo_text
    text = request.args.get("memo", "")
    memo_text += text + "\\n"
    return render_template("memo.html", memo=memo_text)

app.run(host="0.0.0.0", port=8000)

문제풀이

해당 문제는 웹 클라이언트 취약점인 XSS 를 이용하는 문제입니다. 서버에서는 웹 브라우저를 구동하여 가상의 클라이언트를 로컬로 만들고, FLAG를 쿠키값에 넣어 놓습니다. 해당 FLAG 쿠키를 탈취하는것이 주 목적이 되겠습니다.

대회에서는 주로 XSS 취약점 방지를 우회하고, 보통 여러 취약점과 결합하여 푸는 것이 종종 나오곤 합니다.

문제를 푸는데에는 사실 코드를 크게 볼 필요가 없습니다. 그냥 서버에서 돌아가는 웹 브라우저의 쿠키가 FLAG 값이라는 점, 취약점 필터링 등이 없어 우회할 필요가 없다는 점 정도만 코드에서 보면 됩니다.

페이지 탐색

/

/

기본적으로 접속했을 때 3개의 페이지로 안내합니다. vuln page, memo, flag 3개의 페이지입니다.

각각의 페이지별로 어떤 역할을 하는지 알아보겠습니다.

/vuln?param=<script>alert(1)</script>

/vuln?param=<script>alert(1)</script>

vuln 페이지의 param parameter로 들어가는 값이 그대로 돌아와 XSS 취약점이 일어나는 것을 알 수 있습니다. 메인 랜딩 페이지에서 vuln 페이지로 안내할 때 친절히 XSS까지 트리거 된 상태로 안내합니다. 서버의 브라우저에서 해당 취약점을 실행시키면 될 것 같습니다.

/memo?memo=hello || /memo?memo=MAYONNAISE …. and more………….

/memo?memo=hello || /memo?memo=MAYONNAISE …. and more………….

메모 페이지에서는 말그대로 memo parameter 에 온 값을 서버에 한 변수로 저장하고, 다시 사용자에게 보여드리는 역할을 합니다