[KVE-2020-1616] 그누보드 메인화면 XSS 취약점

글 작성자: heogi

Gnuboard 5.4.5.1 버전 메인화면 XSS 취약점 [KVE-2020-1616]

1. 수정된 코드 확인

adm/menu_list_update.php
- 기존(5.4.5.1 ver)

$_POST = array_map_deep('trim', $_POST);

$_POST['me_link'][$i] = is_array($_POST['me_link']) ? clean_xss_tags(clean_xss_attributes($_POST['me_link'][$i], 1)) : '';

$code    = is_array($_POST['code']) ? strip_tags($_POST['code'][$i]) : '';
$me_name = is_array($_POST['me_name']) ? strip_tags($_POST['me_name'][$i]) : '';
$me_link = (preg_match('/^javascript/i', $_POST['me_link'][$i]) || preg_match('/script:/i', $_POST['me_link'][$i])) ? G5_URL : strip_tags(clean_xss_attributes($_POST['me_link'][$i]));

- 수정 후(5.4.5.2 ver)

$_POST = array_map_deep('trim', $_POST);

if(preg_match('/^javascript/i', preg_replace('/[ ]{1,}|[\t]/', '', $_POST['me_link'][$i]))){
	$_POST['me_link'][$i] = G5_URL;
}

$_POST['me_link'][$i] = is_array($_POST['me_link']) ? clean_xss_tags(clean_xss_attributes(preg_replace('/[ ]{2,}|[\t]/', '', $_POST['me_link'][$i]), 1)) : '';

$code    = is_array($_POST['code']) ? strip_tags($_POST['code'][$i]) : '';
$me_name = is_array($_POST['me_name']) ? strip_tags($_POST['me_name'][$i]) : '';
$me_link = (preg_match('/^javascript/i', $_POST['me_link'][$i]) || preg_match('/script:/i', $_POST['me_link'][$i])) ? G5_URL : strip_tags(clean_xss_attributes($_POST['me_link'][$i]));

2. 기능 확인

adm/menu_list_update.php는 관리자권한이 있을때 메인화면에 표시될 링크를 걸수있는 기능이 있다.

메뉴와 링크 및 옵션을 설정하고 추가하게되면 메인화면에 <a> 의 href 에 삽입이 되어 나타나게 된다.

3. 코드 분석

preg_match를 통한 javascript, script: 키워드의 필터링
clean_xss_tag, clean_xss_attribute를 통한 xss 관련 태그와 속성의 제거를 우회하여 진행해야한다.

javascript와 script: 필터링의 경우 HTML Encoding을 통해 우회하였다.
javascript와 script: 동시에 우회해야하여 아래처럼 javascript 사이에는 (	)공백, : 는 &colon;으로 우회한다.

clean_xss_tag의 경우 xss 관련 태그를 필터링하지만 preg_match에서 이미 우회된 javascript를 필터링하고있어
무난하게 통과가되었다.

clean_xss_attribute의 경우 onclick, onload등 다양한 attribute를 필터링하지만 위 처럼 동일하게 HTML Encoding을 통해 우회가 된다.

4. 공격 코드

해당 필터링을 우회하여 작성된 코드는 아래와 같다.

java&#x09;script&colon;alert(document.cookie);

이를 $_POST['me_link']에 전달하면 아래처럼 화면에 나타나게 된다.

'🌐Web' 카테고리의 다른 글

Web Server vs WAS(Web Application Server) (0)	2023.09.29
Broken API Authorization (0)	2023.08.13
AeroCTF - Localization is hard (0)	2023.08.13
RCE via Server-Side Template Injection (0)	2023.08.13
SSTI(Server Side Template Injection) (0)	2022.01.29

[KVE-2020-1616] 그누보드 메인화면 XSS 취약점

Gnuboard 5.4.5.1 버전 메인화면 XSS 취약점 [KVE-2020-1616]

1. 수정된 코드 확인

2. 기능 확인

3. 코드 분석

4. 공격 코드

'🌐Web' 카테고리의 다른 글

댓글

이 글 공유하기

티스토리툴바

Gnuboard 5.4.5.1 버전 메인화면 XSS 취약점 [KVE-2020-1616]

1. 수정된 코드 확인

2. 기능 확인

3. 코드 분석

4. 공격 코드

'🌐Web' 카테고리의 다른 글

댓글

이 글 공유하기

다른 글

Broken API Authorization

AeroCTF - Localization is hard

RCE via Server-Side Template Injection

SSTI(Server Side Template Injection)

티스토리툴바