Encoding Obfuscation

💡 해당 다양한 인코딩을 통한 난독화 기법은 portswigger을 상당부분 참고하였습니다.

다양한 취약점을 식별하여 해당 취약점에 대한 Exploit을 진행 할 때 Payload에서 문자열 혹은 dot(.), / 등이 필터링 되어 있는 경우고 종종 다수 존재한다. 이 때 이를 우회할 수 있도록 인코딩을 통해 난독화를 이용할 수 있다.

클라이언트와 서버는 다양한 인코딩 방식을 사용하여 서로 시스템간의 데이터를 전송한다. 전달받은 데이터는 디코딩 되어 백엔드단에서 처리되된다.

일반적으로 Query 매개변수는 일반적으로 서버측에서 URL 디코딩 되며,
HTML 요소의 텍스트 콘텐츠는 클라이언트측에서 HTML 디코딩 된다.

URL 인코딩을 통한 난독화

Percent-encoding(퍼센트 인코딩) 이라고도 불리며, URL을 통해 GET형식으로 전달할 때 수행되는 인코딩 방식이다.
URL 인코딩의 경우 대체 문자의 ASCII값에 대한 16진수 표현을 ‘%’ 기호와 함께 사용된다. 자동으로 인코딩 되는 특수 문자는 아래 표와 같다

: -> %3A
/ -> %2F
? -> %3F
# -> %23
[ -> %5B
] -> %5D
@ -> %40
! -> %21
$ -> %24
& -> %26
' -> %27
( -> %28
) -> %29
* -> %2A
+ -> %2B
, -> %2C
; -> %3B
= -> %3D
% -> %25
(공백) -> %20 OR +

이 외에 특수 문자 혹은 일반 문자들도 필요하지는 않지만, 인코딩은 가능하다.

---

모든 URL 기반으로 Query 매개변수를 통해 관련 변수에 할당되기 전 서버측에서는 자동으로 URL 디코딩을 수행하게 된다.
간혹 WAF 와 같은 장비가 사용자의 입력값을 URL 디코딩을 수행하지 않는 경우가 존재한다. 이럴 경우 블랙리스트 기반 필터 정책을 URL 인코딩으로 인코딩하여 전송하게되면, 필터링을 우회할 수 있다.

EX) SELECT -> %53%45%4C%45%43%54

Double URL Encoding 을 통한 난독화

일부 몇몇 서버는 수신받은 URL을 확인 후 두 번의 URL 디코딩을 수행한다.

../../etc/passwd -> %252E%252E/%252E%252E/etc/passwd

모든 보안 메커니즘이 입력을 확인 할 때 입력값을 Double Decoding 하지는 않는다. 그러므로

/?payload=%3Cimg%20src%3Dx%20onerror%3Dalert(1)%3E (<img src=x onerror=alert(1)>)

위와같이 단일 인코딩을 통해 XSS PoC 를 주입할 경우 WAF 단에서 차단되어 백엔드까지 해당 payload가 전달되지 않는다. 하지만 Double Encoding를 통해 PoC를 작성하여 보내게 된다면?

/?payload=%253Cimg%2520src%253Dx%2520onerror%253Dalert(1)%253E

단일 디코딩을 수행 하더라도 아직 인코딩된 상태로 남아있기에 WAF는 해당 payload를 제대로된 필터링을 식별하지 못하고 백엔드 서버측으로 전달되고 이후에 백엔드 측에서는 Double Decoding를 통해 payload가 성공적으로 주입되게 된다.

HTML 인코딩 을 통한 난독화

HTML 문서에서 브라우저가 마크업의 일부로 잘못 해석하지 않도록 특정 문자를 이스케이프 처리하거나 인코딩 되어 표현되어야 한다. 요소의 텍스트 내용 혹은 속성 값과 같은 HTML 내의 특정 위치에서 브라우저는 문서를 구문 분석할 떄 자동으로 디코딩작업을 수행한다. 이를 활용하면 클라이언트 측 공격에 대한 페이로드를 난독화 하여 서버 측 검증을 우회할 수 있다

예를들어 < 표시는 아래와 같이 표현이 가능하다.

< -> &#X61;

이와 같이 서버측에서 alert() 라는 Payload를 명시적으로 필터링 하고 있다면 이를 HTML 인코딩 하여 아래와 같이 Payload를 구성할 수 있다.

<img src=’’ onerror=”&#61;lert(1)”>

위와 같이 Payload를 작성해서 요청을 보낼 경우 서버측 필터링 로직을 우회하고 브라우저가 페이지를 렌더링 할 때 사입된 Payload를 디코딩하고 실행하게된다.

이러한 HMTL 인코딩은 10진수 혹은 16진수 코드 포인트를 사용하여 참조를 제공한다.

&#58; === &#x3a; === ‘<’

여기서 신기한 점은 HTML인코딩을 사용할 때 코드 포인트에 숫자 0 을 임의 개수로 포함할 수 있는데 이렇게 0을 포함하여 WAF및 기타 필터링을 우회할 수 있다.

<a href=”javascript:alert(1)”>Check here</a>

XML 인코딩 을 통한 난독화

XML 구문에서도 HTML인코딩과 유사하게 숫자 이스케이프 시퀀스를 사용하여 인코딩하게된다. 이 때 XML 입력을 통해 데이터를 전달하는 로직이 존재한다면 여러 취약점을 우회할 수 있다.

특징은 XML인코딩을 통한 우회는 HTML과 달리 브라우저에 의한 클라이언트측에서 디코딩 되는것이 아니라 서버 자체에 의해 디코딩되어 WAF및 기타 필터를 우회할 수 있다.

<test>
 <list>
  1
 </list>
 <mode>
  100 5ELECT * FROM information_schema.tables
 </mode>
</test>

위와 같은 XML 요청 코드가 존재할 때 mode부분에서 SQL 인젝션을 주입하게된다. 이 때 select 문자열 필터링을 우회하기위해 인코딩을 사용할 수 있다.

Unicode 를 통한 난독화

유니코드의 이스케이프 시퀀스 문자에 대한 4자리로 구성된 16진수 코드의 접두사로 구성되어 있다

\u003a === U+003A === ‘:’

위와 같이 \u003a로 인코딩할 경우 : 과 동일한 의미를 가지고 있다.
ES6는 중괄호를 사용하는 새로운 형태의 유니코드 이스케이프를 지원한다.

\u{3a} === \u003a === ‘:’

ES6 는 2015년에 도입된 버전의 JavaScript이다.

프로그래밍 언어에서는 유니코드 이스케이프 시퀀스르 디코딩 하도로ㄱ 되어있다. 이 때 브라우저측에서 사용되는 Javascript엔진의 경우 유니코드 인코딩을 통해 클라이언트 측 필터링을 우회할 수 있다.

예를 들어 취약함수인 eval 함수의 인자로 입력값을 전달받아 로직을 처리하는 구문이 있을 경우, alert가 차단되었더라도 아래와 같이 우회할 수 있다.

eval(“\x611ert”)

위의 경우 인코딩 된 서버측에 남아 있으므로, 브라우저가 다시 디코딩할 때 까지 필터링에 탐지되지 않을 수 있다.
ES6의 경우 HTML인코딩때와 같이 숫자0을 임의로 붙이더라도 허용하므로 일부 WAF의 필터를 속일 수 있다.

<a href=”javascript\u{0000000003a}alert(1)”>Test</a>

16진수 및 8진수 이스케이프를 통한 난독화

16진수 및 8진수로 인코딩하여 전달하게 되면 서버측 필터링을 우회할 수 있으며 문자열로 전송되어, 클라이언트 측에서 디코딩된다

eval(“\x61lert”) # 16진수
0x53454c454354 -> SELECT 이와 같이 SQL문도 난독화 할 수 있다.

eval(“\141lert(1)”) # 8진수

다중 인코딩을 통한 난독화

하나의 인코딩 기법을 사용하여 테스트해볼 수 있지만, 다양한 인코딩 방식을 합쳐서 Payload를 작성할 수 있다.

<a href=”javascript:&bsol;u0061lert(1)”>test</a>

\ → HTML인코딩

a → Unicode 인코딩

을 통해 아래의 코드를 난독화 시켰다.

<a href=”javascript:alert(1)”>test</a>

Function을 통한 난독화

SQL CHAR() 함수

CHAR(83)+CHAR(69)+CHAR(76)+CHAR(69)+CHAR(67)+CHAR(84)
=== SELECT
concat(CHAR(83)+CHAR(69)+CHAR(76)+CHAR(69)+CHAR(67)+CHAR(84))

JS String.frimCharCode()

<img src=x: oNerroR=’alert(String.fromCharCode(72, 97, 99, 107))’>

.(dot)우회

%E3%80%82 를 통해 . 필터링을 우회할 수 있음

ex get 방식으로 url 전달값 필터링 될 시 사용

<aside>
💡 [www.nave.com](http://www.nave.com) → www%E3%80%82naver%E3%80%82com

</aside>

url 인코딩과 double 인코딩 이 둘 다 필터링 되어 있을경우 해볼만한듯

Reference

• https://portswigger.net/web-security/essential-skills/obfuscating-attacks-using-encodings
• https://snyk.io/blog/url-confusion-vulnerabilities/#url-encoded