[Bee-box] HTML injection - Reflected(POST)

HTML injection-Reflected(Get)방식에 이어서,

오늘은 Reflected기법 중 POST방법을 실습해볼게요

실습하는 모든 공격은 실제로 사용하시면 안됩니다.

허용받지 않은 서비스 대상에 해킹을 시도하는 행동은 금지하며,

모든 법적 책임은 사용자에게 있는 것을 명심해주세요.

---

먼저 사이트에서 HTML injection - Reflected(POST) 항목을 선택해 주세요.

난이도는 low로 지정해줍니다.

 

 

난이도 하

 

POST 페이지로 들어왔습니다. 

저번에 실습한 GET방식은 GET메서드로 HTTP 요청을 하였다면,

POST방식은 POST메소드를 사용하여 데이터를 전송하기 때문에 서버로 전송하는 변수 값이 URL에 노출되지 않습니다.

그렇기 때문에 이번 실습은 버프스위트(Burp Suite)를 사용하여 변수 값을 전달해 보겠습니다.

 

먼저 bee-box에서 ip를 확인해줍니다. 

 

 

192.168.0.43 접속을 해볼게요.

 

 

접속 후 버프스위트를 실행시킵니다.

 

* burp suite의 프락시(proxy)기능은 기본 설정으로 요청 세션만 가로챈다. 응답 세션도 가로채려면 

Proxy 하위 탭인 "Options"에서 아래와 같은 설정을 수정해야 한다.

 

네모박스 안에 체크해야함.

 

이제 제 PC에 프록시 설정을 해줄게요.

 

 

검색 -> 프록시

 

주소는 로컬 주소로 설정해주시고, 포트번호는 8080으로 맞춰주세요.

 

 

프록시 설정이 다되었다면, 켜주신 후 bee-box에서 Go를 클릭해주세요.

그전에 ! 버프 스위트에  intercept is on/off중 꼭 on으로 켜주셔야 합니다.

 

 

이렇게 보내주면 클라이언트가 보내는 HTTP요청 정보가 버프스위트에서 보입니다.

 

 

데이터가 잡혔는데 비어있네요, 이 곳을 저번 GET방식때와 동일하게 태그를 적어줍니다. (매개변수의 값을 수정)

 

 

 

수정해주고 Forward 버튼을 클릭해서 요청을 보내줍니다.

 

 

 

 

버프스위트를 사용한 HTML 인젝션 공격의 결과로 웹 브라우저에 h1태그와 img(이미지)태그가 출력됩니다.

아래에 입력했던 태그처럼 떴다면 성공.

 

난이도 중

난이도를 medium으로 변경해줍니다.

 

 

'난이도 중' 도 GET메소드 방식과 동일하게 HTML인젝션을 방지하기 위해 '<'와 '>'문자를 필터링 합니다.

따라서 HTML태그에 사용하는 문자를 인코딩한 후 입력해보겠습니다.

저번과 같이 < = %3C, > = %3E로 인코딩해보겠습니다.

 

 

바로 Go를 클릭하여 프록시를 잡아줍니다.

 

 

아래와 같이 인코딩한 태그를 입력 후 Forward를 클릭하여 요청을 전송합니다.

 

 

그런데 웬일인지... 인코딩한 태그를 전송해도 실행이 되질 않고, 문자열이 그대로 출력되었네요.

그 이유를 확인해보기 위해서 웹 페이지의 'firstname'입력란에 태그를 입력 후 버프스위트로 요청 값을 가로채서

변수에 입력한 태그를 확인해봅시다.

 

 

인코딩한 값을 넣어주고 Go를 클릭해보았더니

 

 

이렇게 더블인코딩이 사용된 것을 확인할 수 있습니다.

 

더블 인코딩이란?

인코딩에 사용되는 "%" 문자도 인코딩을 하는 방식으로

"%"문자의 인코딩 값은 '%25'이다. 

 

즉 "<"문자를 인코딩한 값이 %3C이면, 더블인코딩한 값은 %253C가 된다.

 

 

이번엔 더블인코딩 한 값을넣고 Forward를 클릭해보았습니다.

 

 

정상적으로 삽입한 태그가 출력되었으므로, '난이도-중' 도 성공!

 

난이도 상

 

난이도 상 단계에서는 low(난이도 하), midium(난이도 중) 처럼 태그를 입력하여도 문자열로 출력이 됩니다.

그 이유는 "HTML injection - Reflected(GET)" 방식과 마찬가지로, 우회 과정을 거치기 때문입니다.

 

 

bee-box에 터미널로 접근하여, htmi_post.php에서 소스 코드를 확인해보았더니,

 

'xss_check_3' 함수를 통해서 입력 데이터를 우회하고 있네요.

이 함수는 Get방식에서 우회할때 쓰였던 함수와 같은 함수로, 

htmlspecialchars 함수로 입력 값을 우회해줍니다.

(위 함수에 관한 내용은 HTML인젝션-GET에서 자세히 다뤘으니 참고해주세요.

https://lucete1230-cyberpolice.tistory.com/60)

---

따라서! HTML인젝션을 막으려면 위와 같은 함수를 사용하여 HTML태그에 사용되는 문자들을

HTML태그로 인식되지 않게 UTF-8로 인코딩을 해주면 된답니다!

다들 수고하셨어요 ㅎㅎ