[Bee-box] HTML injection - Stored(Blog)

오랜만에 제가 진짜 진짜 하고 싶었던..ㅠㅠㅠ

Bee-box를 다시 시작하네요..

그동안 SQL인젝션, 파일업로드 등 실습은 해보았지만

처음 하는 마음으로 다시 차근차근 올리도록 하겠습니다!

 

 

HTML injection-Reflected(Post)방식에 이어서,

오늘은 Reflected기법 중 Stored(Blog)방법을 실습해볼게요

실습하는 모든 공격은 실제로 사용하시면 안됩니다.

허용받지 않은 서비스 대상에 해킹을 시도하는 행동은 금지하며,

모든 법적 책임은 사용자에게 있는 것을 명심해주세요.

---

난이도 하

'htmli_stored.php' 페이지는 블로그 형식이기 때문에 HTML 태그를 저장하여,

관리자가 의도하지 않은 내용을  출력하게 하는 공격이 가능합니다.

또한 블로그에 실린 텍스트 필드에 내용을 입력하고 [GO]버튼을 클릭하면 입력 내용을 전송하고 다른 페이지로 이동할 수 있습니다.

 

 

먼저 bWAPP  -> "low" 단계로 접속해볼께요

 

 

> 'htmli_post.php' 페이지의 형식을 사용하기 위해 'Stord'말고 'POST'로 일단 이동해봅시당.

 

 

> 'Post' 방식으로 들어와서 [F12] 기능키를 눌러서 개발자 도구를 실행시켜줍니다.

 

실행시켜주시면 프레임별로 구분된 HTML 소스 코드를 볼 수 있는데요! 여기서 form태그를 복사해볼꺼예요. 

 

 

이렇게 HTML 코드를 복사해줍니다. (저는 보이기 쉽게 메모장에 따로 표시해두었어요)

 

> 복사한 코드는 form 태그로, 입력한 데이터를 서버로 보내는 기능을 합니다.

 

복사한 코드는 'HTML injection - Stored(Blog)' 에 들어가서 'Textarea'로 선언된 필드 안에 넣어줍니다.

 

 

> 위와 같이 붙여넣은 후 submit을 눌러주시면 됩니다.

 

 

> 이렇게 아래에 무언가 생성됬네요!! 여기에 Entry 안에 있는 텍스트 필드에 데이터를 입력해봅시다.

 

 

> 데이터 입력 후 Go를 클릭해줍니다.

 

 

> POST 화면으로 이동이 되었네요. 아래 자신이 입력한 데이터가 출력되었다면 성공.

 

코드를 조금 바꾸어서 제가 원하는 화면으로 이동시키고 싶다면 ▼ ▼ ▼

 

 

제 블로그로 이동시켜볼께요! 

 

 

> 마찬가지로 코드를 입력 후 submit을 눌러줍니다.

 

 

> 위에 코드처럼 ID, Pwd로 바뀌었습니다. GO 버튼을 누르면

 

블로그로 이동되고 아이디와 비밀번호 정보가 노출되네요.

> 이렇게 되면 공격 성공! 

 

 

---

 

난이도 중과 상에서는 태그를 입력하고 submit을 클릭하면 아래와 같이 문자열로 출력합니다. 

> 즉 HTML 태그를 입력하여도 해석하지 우회단계를 거치기 때문에 해석하지 않는 것이지요.

 

 

실제로 medium 단계는 해석되지 않고 문자열로 그대로 출력되는데,

htmli_stored.php 페이지 코드를 살펴보면 난이도 '하' 에서는 필터링 하지 않지만

'중'과 '상'은 아래와 같이 xss_check_3함수로 'Entry' 항목에 들어가는 내용을 필터링합니다.

 

 

> 'xss_check_3' 함수를 찾아서 확인해보면

 

 

'htmlspecialchars'라는 함수로 입력 값을 우회하네요.

 

>> "htmlspecialchars" 함수는 HTML에서 사용하는 특수 문자를 UTF-8로 반환하며, 변환하는 특수문자는 위 코드에

주석처리 되어있는 &, ", ', <, > 이다.

따라서 공격을 막기 위해서는 위와 같은 함수를 사용하여, 태그에 사용되는 문자들을 HTML 태그로 해석하지 않도록 입력 데이터를 UTF-8로 인코딩하면 됩니다!