XSS gaming - level 1~6

문제

• level 1 ~ 3 : 기본적인 스크립트 인젝션

• level 4

  

  

  • 시간값을 입력받고
  • 그 값은 onload에서 사용자 정의함수인 startTimer를 호출하는 인자로 사용된다.
    • 입력한 시간 후에 경고창이 뜨게하는 함수이다.
  • onload에서 여러개의 명령문이 실행 가능하다는 점을 이용한다.
    • onload('startTimer(); alert()') 이런 식으로

• level5

  • 가입버튼이 있는 페이지가 존재한다

    

  • get 파라미터로 next를 넘겨주는데 코드를 보면

  • next는 다음 페이지로 넘어가는 a href의 링크주소로 사용된다.

    

  • 이 값을 javascript: alert()로 해주어 자바스크립트가 실행되게 만들어준다.

• level6

  <!doctype html>
  <html>
  <head>
    <!-- Internal game scripts/styles, mostly boring stuff -->
    <script src="/static/game-frame.js"></script>
    <link rel="stylesheet" href="/static/game-frame-styles.css" />
  
    <script>
    function setInnerText(element, value) {
      if (element.innerText) {
        element.innerText = value;
      } else {
        element.textContent = value;
      }
    }
  
    function includeGadget(url) {
      var scriptEl = document.createElement('script');
  
      // This will totally prevent us from loading evil URLs!
      if (url.match(/^https?:\/\//)) {
        setInnerText(document.getElementById("log"),
          "Sorry, cannot load a URL containing \"http\".");
        return;
      }
  
      // Load this awesome gadget
      scriptEl.src = url;
  
      // Show log messages
      scriptEl.onload = function() { 
        setInnerText(document.getElementById("log"),  
          "Loaded gadget from " + url);
      }
      scriptEl.onerror = function() { 
        setInnerText(document.getElementById("log"),  
          "Couldn't load gadget from " + url);
      }
  
      document.head.appendChild(scriptEl);
    }
  
    // Take the value after # and use it as the gadget filename.
    function getGadgetName() { 
      return window.location.hash.substr(1) || "/static/gadget.js";
    }
  
    includeGadget(getGadgetName());
  
    // Extra code so that we can communicate with the parent page
    window.addEventListener("message", function(event){
      if (event.source == parent) {
        includeGadget(getGadgetName());
      }
    }, false);
  
    </script>
  </head>
  
  <body id="level6">
    <img src="/static/logos/level6.png">
    <img id="cube" src="/static/level6_cube.png">
    <div id="log">Loading gadget...</div>
  </body>
  </html>
  

```

특정 js 페이지를 로드한다.
원하는 동작을 하는 js를 로드시키면 되는데
힌트를 보면 callback으로 전달해주는 인자값을 함수로 호출해주는 js파일의 URL을 제공해준다.
이 URL의 인자를 alert로 바꾼 후, 문제페이지에 해당 URL을 전달해주면 클리어

티스토리 마크다운

• 하... 제대로 적용이 안되네..