seummin_ 공부 노트

JSON 3

문제

문제해석

</를 입력하면 <\/로 치환되며 이전의 JSON 문제들과 같이 ", \ 와 같은 문자들 앞에 백슬래쉬가 붙는다.

console.log("입력한 문자열")이 들어가게 되며

#을 기준으로 같은 스크립트가 하나 추가되게 된다.

풀이

HTML파서는 문자들을 읽으면서 어떠한 상태에 있는지 파악한다.

일반적으로 읽는 문자들은 Data state상태로 인식하게 되며

<script>와 같은 문자를 읽게 되었을 때 script data state로 파서의 상태가 바뀌게 되어 자바스크립트를 읽을 수 있게 된다.

https://www.w3.org/TR/html50/syntax.html

위의 페이지에서 <script>태그에서 하나하나씩 따라가다보면 script data double escaped state란 것을 볼 수 있다.

Data state에서의 상태 변화

data state + <script>    ->   Script data state

Script data state + <!--    ->    Script data escaped state

Script data escaped state + <script>  ->   Script data double escaped state

Script data double escaped state 상태 일때

- </script>   ->   script data escaped state

- -->   ->   script data state

Script data escaped state 상태 일때

- </script>   ->   data state

- -->   ->   script data state

Script data state, Script data escaped state, Script data double escaped state 는 모두 자바스크립트로 문자를 해석하게 된다.

이를 이용해서 문제를 해결하게 되면

Input에 <!--<script>를 입력하여 script data double escaped 상태에로 바꾼 후 원래 있던 </script>를 만나

Script escaped state 상태로 변하게 된다.

다시말해서 </script>로 닫혔음에도 불구하고 아직 뒤에 오는 문자열이 자바스크립트로 해석되는 것을 의미한다.

#을 입력하여 뒤에 <script>가 추가되어 다시 Script data double escaped state 상태가 되며 원하는 값을 입력 할 수 있게된다. 

#뒤에 input으로 

<script>console.log("<!--<script>")</script><script>console.log("    입력될 문자열 에서

빨간색 부분은 console.log로 출력

<는 비교연산자의 역할

보라색부분은 정규표현식으로 입력할 문자열에서 마무리 지어 주면서 alert를 추가하면된다.

Input : <!--<script>#)/+alert(1)//-->

그냥생각

HTML파서로서 읽는 것

js파서로서 읽는 것을 이해하는게 아직은 힘든 것 같다.

-->앞에 왜 //를 붙여야하지..

Skandia

문제

문제해석

문자를 입력하면 대문자로 치환된다.

풀이

HTML entity를 이용하여 해결하였다. 

HTML entity : HTML 문서를 코딩할 때 태그와 혼용되는 것을 막기 위해 브라우저 상에 예약된 문자

HTML entity는 JavaScript를 해석하기전에 미리 해석되기 때문에 script가 해석 될 때에 alert(1)로 인식하여 문제가 풀린다.

#뒤에 x를 통해 16진수로 사용가능하다

Input :</script><iframe/onload=&#x61&#x6C&#x65&#x72&#x74(1)//

처음 시도했던 것

원래 문제 풀때에 처음 시도했던 방법이다.

Input : "+'\141\154\145\162\164\50\61\51'+"

Warmup때 썻던 방법을 응용하여 공격할 수 있을 줄 알았는데 Javascript 단에서 해석이 되기때문에 alert()로서의 기능은 수행되지 않고 문자열로서만 변환이 되어 공격이 안된 것 같다.

다른 풀이

url encoding 을 이용하는 방법

data:, 뒤에 url 인코딩하여 사용할 수 있는 방법으로 해결하였다.

Input : </script><script src=data:,%61%6C%65%72%74(1)>

이외에

저번에도 사용했던 \u0061 js에서 해석되는 문법

svg일때 크롬 오류로 html entitiy를 해석하는 것

<svg><script>alert&#28;1)</script>

태그에도 우선순위가 있음!
<title><a href="</title><svg/onerror=alert(1)>

를 알게 되었땅

callback2

문제

문제해석

기본적으로 callback과 같으며 대신에 ", \, / 와 같은 필터링이 생겼다.

풀이

필터링이 생겨 기존에 사용하던 //를 못사용하고

다른 주석을 이용하여 풀면된다.

Input : '#';alert(1)<!--

javascript의 주석

//     <!-- 이외에

(개행문자)--> 도 있다. 

위의 문제에서 엔터를 -->전에 누르면 \n으로 필티링(되어서 나오는데) 개발자 도구의 콘솔창을 이용하여

copy('\u2028')  또는 2029를 한 후 -->전에 붙여넣기를 하면 된다!?

(js가 정착되지 않은 시절 js로 개발된 것이 정착되고 난  후

<script>

<!--

-->

</script>

다음과 같이 짜여진 코드들이 정상 작동하도록 각각이 한줄 주석으로 처리되게 했다고 한다.

)

JSON 2

문제

문제해석

</script 를 입력하면 공백으로 바뀐다.

풀이

</script를 입력해야지만 공백으로 바뀌고 </s1cript와 같이 다른문자가 섞여있을 때는 그대로 출력된다.

그래서 </script만 공백으로 바뀌는 것을 이용하여 payload를 작성하면된다.

Input : </</scriptscript<script>alert(1)//

Markdown

문제

문제해석

<와 "는 각각 &lt; &quot;로 치환 되며

[[a|b]]는

a부분이 img 태그의 alt 부분, b 부분이 src 부분으로 각각 들어가게 되며

alt - Alternate(대체하다) 이미지가 잘못 불러졌을 때 대체되어 나타나는 것.

http://string은

다음과 같이 치환된다.

풀이

"가 &quot;로 치환되어 사용하지 못하지만 http:// 와 [[a|b]]가 치환되는 형태 안에서 각각 "를 포함하는 것을 이용하여 "를 우회할 수 있다.

input : [[a|http://onerror=alert(1)//]]

다음과 같이 풀 수 있다.

<img alt="<a href="http://onerror=alert(1)//" src="a.gif">">http://onerror=alert(1)//]]</a> 에서

실제 페이지에서 다음과 같이 해석 된다.

//에 대한 공부

<img alt="<a href=" http: 에서 //가 html paser로 해석되는데 어떠한 값으로도 해석되지 않아 공백 문자와 같이 처리되고

onerror 다음의 //는 js 이벤트 핸들러로 해석되어 주석의 기능을 실행하며

"">http~~~ 의 // 는 text 그대로 해석 되어 출력된다.

참고 : https://www.w3.org/TR/2011/WD-html5-20110405/tokenization.html#tag-open-state

8.2.4.1 Data state

Warmup

console.log를 닫아주고 alert(1)이 후 주석 처리를 해주어도 되고, 안에 더블 쿼터들을 문자열 연결을 통해 처리해주면서 alert(1)을 하면 된다.

input : +"alert(1)"+

Adobe

"를 치면 \가 생긴다. "앞에 \를 넣어 줌으로써 \가 "로 생기는 \를 문자로 표현 해주어 우회가 가능하다

input : \");alert(1)//

JSON

앞선 문제와 달리 \에도 \가 생겨 앞 문제와 약간 다르다 script를 닫아주고 새로운 script 태그를 만들어 alert를 해준다.

input : </script><script>alert(1)//