[Bee-box] 기타 인젝션 공격- iframe

HTML injection-Stored(Blog)방식에 이어서,

오늘은 인젝션 기법 중 iframe 인젝션을 실습해볼게요

실습하는 모든 공격은 실제로 사용하시면 안됩니다.

허용받지 않은 서비스 대상에 해킹을 시도하는 행동은 금지하며,

모든 법적 책임은 사용자에게 있는 것을 명심해주세요

---

난이도 하

iframe은 HTML 문서 안에서 또 다른 HTML 문서를 출력하는 태그로,

어느 위치든 상관없이 인젝션 공격을 할 수 있습니다.

또한 독립적으로 만들 수 있기 때문에 HTML 인젝션 중에서도 공격에 자주 사용됩니다.

 

페이지 내에 iframe 태그를 주입한다. --> 주로 악성 URL을 삽입 후 사이즈를 0으로 설정하여 숨긴다.

--> 사용자에게 의도치 않게 악성사이트로 접속하게끔 하거나, 경고창을 띄울 수 있다.

 

 

 

먼저 low단계로 'iframei.php' 페이지로 들어갑니다.

'iframei.php' 페이지는 GET 방식으로 데이터를 전송받으므로 URL에 변수가 노출됩니다.

 

 

변수를 확인해보면 'ParamUrl', 'ParamWidth', 'ParamHeight' 총 세가지가 있습니다.

ParamUrl -> 연결할 주소 받아오기.

ParamWidth, ParamHeight -> 내용을 출력할 크기 지정하기.

 

 

개발자 도구로 코드를 확인해보면

 

 

iframe 태그를 사용하여 'robots.txt' 라는 파일의 내용을 확인해주네요.

아까 위에 URL에서 확인 해보면, ParamUrl 변수의값은 robot.txt입니다.

 

이 변수에 입력한 내용이 iframe 태그에 추가되어 기존 iframe 태그를 강제로 닫고 URL에 노출된 변수에 악의적인

iframe 태그를 주입해보도록 하겠습니다.

 

 

- HTML 페이지 생성하기 -

 

먼저 사용자가 모르게 악의적인 페이지를 출력하는 공격을 하려면 HTML 페이지가 필요합니다.

vmware > bee-box 에서 터미널을 통하여, 명령어를 입력해서 페이지를 생성해 보도록 하겠습니다. 

 

 

> 터미널을 실행 후 비박스에서 지정한 웹 애플리케이션 디렉터리 위치로 이동해줍니다.

 

 

* cd -> change Directory

 

> vi 편집기를 사용하여 'bad.html' 이라는 파일을 생성해줍니다.

(저는 먼저 sudo su 명령어를 통해 루트권한을 빌렸지만, 그렇지 않으신 분은  sudo vi bad.html 을 입력해주세요.)

 

위와 같이 파일 생성 후 내용을 입력해주시고, 

"Esc -> Shift + :  " 를 누른 후 " wq! " 를 입력하여 내용을 저장해줍니다.

 

제대로 저장이 되었는지 확인해줍니다.

 

이렇게! HTML 페이지를 만들고 나면 다시 iframei.php 페이지로 이동하여, URL에 악의적인 페이지를 호출해봅시다.

 

먼저 원래 기존의 URL 인데요, 자세히 보면

 

 

이렇게 되네요. 

수정 후 URL도 위에 표시해 두었는데요.

기존의 ParamUrl 변수의 값이 원래 페이지의 iframe 태그에 추가되기 때문에

"></iframe> 을 입력하여 원래 페이지의 iframe 태그를 닫아주고, bad.html 페이지를 src속성에 입력해줍니다.

 

이렇게 url을 입력해 주고 엔터를 누르면 

 

 

화면과 같이 Succed 라고 경고창이 뜨게 됩니다. -> 뜨면 공격 성공

 

확인 버튼을 클릭하면

 

 

robots.txt 내용 옆에 bad.html에 입력한 헤딩 태그 "<h1>" 내용을 출력하고 그옆에는 정상 iframe 태그에 들어가는

넓이와 높이 속성을 문자열로 출력합니다.

--> 이는 정상 iframe태그를 강제로 닫았기 때문에 속성이 노출된 것입니다.

--> ParamWidth 변수에 iframe 태그를 주입하면 정상 iframe 태그의 가장 마지막이기 때문에 "> 만 출력합니다.

 

 

 

공격 성공 후 [F12] 개발자 도구로 들어가서 소스 코드를 확인하면

 

 

div id="main" 에 원래 있던 iframe태그가 닫히고 악의적으로 주입한 iframe태그가 추가된 것을 확인 할 수 있습니다.

 

사용자 몰래 iframe 인젝션 공격을 하기 위해 'width'속성과  'height' 속성을 0으로 변경해보겠습니다.

 

 

이렇게 사이즈를 0으로 지정하고 실행 시켜보면 

 

 

아까와 동일하게 succeed라는 경고창은 그대로 출력됩니다.

하지만 이전과 다르게 bad.html에 입력한 <h1> 태그 내용이 출력되지 않네요..!

 

 

이렇게 입력했던 헤딩태그는 출력되지 않았네요.

--> 따라서 공격자는 iframe 인젝션으로 경고창을 출력하여 원래 사이트에서 정상적인 응답을 주는 것 처럼 사용자를 

속일 수 있습니다. (안에 내용은 숨기고, 경고창만 출력이 됨)

 

그러나 위 화면만 보면, iframe 사이즈가 이상하다는 것을 느낄 것입니다. 

화면에 이상한 점을 눈치채지 못하게 높이 속성을 아주 큰 값으로 설정해줍니다.

 

 

원래 url 변수에 높이 값을 지정해주고 실행시켜주면

 

 

이렇게 스크롤도 자연스럽게 내려가고, 이전과는 다르게 정상적인 웹 페이지로 보이네요.

--> 공격 성공

 

 

 

대응 방안

 

난이도 상에서는 위와 같은 공격이 먹히질 않습니다.. (아무반응이 없음..)

 

 

개발자 모드로 들어가봐도 동일합니다.. 

이유는 난이도 상에서 결과를 출력하기 전에 우회 단계를 거치기 때문에,

웹 브라우저에서 입력 데이터를 태그로 해석하지 않아서 인데요.

 

iframei.php 페이지 코드를 확인해보면

 

 

'난이도 하'와 다르게 '중' 과 '상' 에서는 함수를 사용하고 있습니다.

 

(xss_check 함수는 functions_external.php에 정의되어있어요.)

 

'난이도 중' 은 addslashes함수를 이용하여 우회하였고,

 

'난이도 상' 에서는 htmlspecialchars 함수로 입력값을 우회하네요!

 

항상 injection글마다 나오는 이 함수는! HTML에서 사용하는 특수문자를 UTF-8로 반환해주는 함수입니다.

 

따라서 iframe 인젝션을 막으려면 htmlspecialchars 함수를 사용하여 웹 브라우저에서 iframe 태그에 사용하는

문자들을 HTML태그로 해석하지 않게 입력 데이터를 UTF-8로 인코딩 해주는 방법이 있습니다.