iframe Injection

iframe 인젝션

HTML 문서 안에서 또 다른 HTML 문서를 출력하는 태그로 어느 위치든 상관 없이 인젝션 공격을 수행이 가능하다

또한 iframe 인젝션은 독립적으로 만들 수 있어서 HTML 인젝션에 많이 사용된다.

주로 URL을 삽입한 후 사이즈를 0으로 설정하여 숨기는 방법을 사용해 사용자가 의도하지 않은 악성 웹 사이트에 접속하거나 경고창을 띄울 수 있다.

 

iframe 태그 형식

<iframe src="

 

<iframe src ="출력할 페이지 주소" width="폭" height="높이"> ~ </iframe>

(~안에는 인터넷이 iframe을 지원하지 않을경우 출력하는 내용이다.)

 

이제 문제를  풀어보자

항상 하던대로 bee/bug로 로그인을 한 후 iframe injection을 선택 후 Hack을 선택하면 다음과 같이 화면이 뜬다.

처음보면 이게 먼가 할 것이다.

우리는 이제 여기서 URL을 잘 살펴봐야 한다.

URL을 살펴보면

다음과 같다.

이번 페이지(iframe.php)는 GET 방식으로 데이터를 전송받으므로 URL에 변수를 노출한다.

변수는 'ParamURL', 'ParamWidth', 'ParamHeight' 총 세가지인데

ParamURL = 연결할 주소

ParamWidth = 폭 크기

ParamHeight = 높이 

이다.

이제 이 부분에서 ParamURl을 건들이면 내가 원하는 주소로 이동시킬 수 있다.

ParamURl값을 내가 원하는 주소를 입력하면 내가 원하는 주소로 이동가능하다.

이제 문제를 풀어보자

 

우선 Iframe 문제로 들어가자

솔직히 이렇게만 보면 먼지 모르겠지만 URL을 살펴보면

다음과 같이 iframe이 사용되고 있다.

이제 iframe인젝션은 URL을 숨겨 경고창을 띄우거나 홈페이지 접속을 유도하는 공격인 만큼 이 URL에 iframe 코드를 주입하면 된다.

우선 공격용 웹사이트를 만든다.

1. /var/www/bWAPP 디렉터리에 들어간다.

2. vi(gedit)을 이용해 빈파일을 연다. 이 때 sudo를 이용해 최고권한을 이용해 파일을 열어야 한다(비밀번호 : bug)

3. 다음과 같이 코드를 입력 후  :wq를 이용해 저장한다.

<html>
<head>
<h1>Hacked by Park</h1>
<script>alert("Hacked by Park")</script>
</head>
</html>

4. 다시 iframe 인젝션 문제로 이동하여 ParamUrl 변수에 악의적인 HTML 페이지를 호출하는 iframe 태그를 입력

ParamUrl 변수의 값이 원래 페이지 iframe 태그에 추가 되기 떄문에 원래 iframe 페이지 태그를 닫아줘야 한다.

http://localhost/bWAPP/iframe.php?ParamUrl =robot.txt"></iframe> //iframe안에 iframe을 집어넣는것이기 때문에 iframe을 닫아준다.
<iframe src="bad.html" width="250" height="250"></iframe> //공격 URL 삽입
&ParamWidth=250&ParamHeight=250

다음과 같이 입력하면

확인 버튼을 누르면 robots.txt 내용 옆에 bad.html에 입력한 헤딩 태그를 출력하고 그 옆에 iframe에 들어가는 넓이와 높이 속성이 문자열로 출력된다.

이유는 정상 iframe 태그를 강제로 닫았기 떄문에 속성이 노출된 것인데 이제 이 문자열을 숨기기 위해서

iframe 태그를 맨 뒤로 옮긴다.

http://localhost/bWAPP/iframe.php?ParamUrl =robot.txt&ParamWidth=250&ParamHeight=250
"></iframe><iframe src="bad.html" width="250" height="250"></iframe>

다음과 같이 입력하면

다음과 같이 height는 지워졌지만 width는 남아있다.

이유는 "게 하나가 남아서 인데

이거를 지워주기 위해 삽입한 iframe 코드 맨 뒤에 있는 "를 지워준다.

http://localhost/bWAPP/iframe.php?ParamUrl =robot.txt&ParamWidth=250&ParamHeight=250
"></iframe><iframe src="bad.html" width="250" height="250></iframe>

그럼

height 크기 코드가 먹지않아 "Hacked by Park"가 밑으로 내려오긴 했지만 속성 문자열이 다 지워졌다.

이제 iframe 인젝션 특징인 사용자에게 경고창을 띄우지만 원래 사이트에서 정상적인 응답인 것 처럼 속이는 것이니

페이지에 띄어진 Hacked by Park를 지우자

iframe에 width와 height를 모두 0으로 수정하면 된다.

http://localhost/bWAPP/iframe.php?ParamUrl =robot.txt&ParamWidth=250&ParamHeight=250
"></iframe><iframe src="bad.html" width="0" height="0></iframe>

그러면 다음과 같이

정상적인 페이지에 경고창만 띄울 수 있다.

 

난이도 (medium), (high) 경우(low)에서 넣었던 URL을 그대로 넣으면

다음과 같이 공격이 먹지 않는다.

이유는 /var/www/bWAPP에 iframei.php 파일을 확인하면 알 수 있는데

iframei.php의 medium(1)과 high(2)

medium과 high 난이도에서는 width, height는 URL에서 get 방식으로 받아오지만 src 속성은 'robot.txt'로 고정이 되어있다.

그렇다면 low 단계는 어떨까?

iframei.php low(0)

보면 src, width, height 전부 URL에서 get 방식으로 받아올 수 있기 때문에 iframe Injection 공격이 성공 할 수 있었다.