[Dreamhack/드림핵] csrf-2

 

https://dreamhack.io/wargame/challenges/269

 

 

---

[1] 문제 분석

 

# 문제 웹 페이지 분석

 

(1) /Home

 

초기 화면(Home 화면)이다.

 

(2) /vuln(csrf) page

 

script는 *로 대체되었고

/script는 공백 처리된 것 같다.

 

 

 

소스 코드도 이게 전부다.

 

 

 

(3) /flag 페이지

 

 

/vuln 경로에 param 매개변수를 전달할 때 넣을 값을 제출하면 되는 형식이다.

 

 

<!doctype html>
<html>
  <head>
    <link rel="stylesheet" href="/static/css/bootstrap.min.css">
    <link rel="stylesheet" href="/static/css/bootstrap-theme.min.css">
    <link rel="stylesheet" href="/static/css/non-responsive.css">
    <title>Index CSRF-2</title>
    
  
  <style type="text/css">
    .important { color: #336699; }
  </style>

  </head>
<body>

    <!-- Fixed navbar -->
    <nav class="navbar navbar-default navbar-fixed-top">
      <div class="container">
        <div class="navbar-header">
          <a class="navbar-brand" href="/">CSRF-2</a>
        </div>
        <div id="navbar">
          <ul class="nav navbar-nav">
            <li><a href="/">Home</a></li>
          </ul>

          <ul class="nav navbar-nav navbar-right">
          </ul>

        </div><!--/.nav-collapse -->
      </div>
    </nav>

    <div class="container">
      
  <form method="POST">
    http://127.0.0.1:8000/vuln?param=<input type="text" name="param"/><br/>
    <input type="submit"/><br/>
  </form>

    </div> <!-- /container -->

    <!-- Bootstrap core JavaScript -->
    <script src="/static/js/jquery.min.js"></script>
    <script src="/static/js/bootstrap.min.js"></script> 
</body>
</html>

 

 

/flag 페이지의 소스 코드이다.

방금 분석한 그대로이고, 이외에 딱히 힌트가 되는 내용은 없었다.

 

 

(4) /login 페이지

 

 

로그인을 할 수 있는 화면이 나타난다.

 

<!doctype html>
<html>
  <head>
    <link rel="stylesheet" href="/static/css/bootstrap.min.css">
    <link rel="stylesheet" href="/static/css/bootstrap-theme.min.css">
    <link rel="stylesheet" href="/static/css/non-responsive.css">
    <title>Login CSRF-2</title>
    
  

  </head>
<body>

    <!-- Fixed navbar -->
    <nav class="navbar navbar-default navbar-fixed-top">
      <div class="container">
        <div class="navbar-header">
          <a class="navbar-brand" href="/">CSRF-2</a>
        </div>
        <div id="navbar">
          <ul class="nav navbar-nav">
            <li><a href="/">Home</a></li>
          </ul>

          <ul class="nav navbar-nav navbar-right">
          </ul>

        </div><!--/.nav-collapse -->
      </div>
    </nav>

    <div class="container">
      
<h1>Login</h1><br/>
<form method="POST">
  <div class="form-group">
    <label for="InputName">username</label>
    <input type="text" class="form-control" id="InputName" placeholder="username" name="username" required>
  </div>
  <div class="form-group">
    <label for="InputPassword">password</label>
    <input type="password" class="form-control" id="InputPassword" placeholder="password" name="password" required>
  </div>
  <button type="submit" class="btn btn-default">Login</button>
</form>

    </div> <!-- /container -->

    <!-- Bootstrap core JavaScript -->
    <script src="/static/js/jquery.min.js"></script>
    <script src="/static/js/bootstrap.min.js"></script> 
</body>
</html>

 

/login 페이지의 소스 코드이다.

username과 password를 받아들이고 있다.

특별한 점은 없어보인다.

 

 

 

# 다운로드한 문제 파일 분석

 

⚙️ app.py

#!/usr/bin/python3
from flask import Flask, request, render_template, make_response, redirect, url_for
from selenium import webdriver
from selenium.webdriver.chrome.service import Service
import urllib
import os

app = Flask(__name__)
app.secret_key = os.urandom(32)

try:
    FLAG = open("./flag.txt", "r").read()
except:
    FLAG = "[**FLAG**]"

users = {
    'guest': 'guest',
    'admin': FLAG
}

session_storage = {}

def read_url(url, cookie={"name": "name", "value": "value"}):
    cookie.update({"domain": "127.0.0.1"})
    try:
        service = Service(executable_path="/chromedriver")
        options = webdriver.ChromeOptions()
        for _ in [
            "headless",
            "window-size=1920x1080",
            "disable-gpu",
            "no-sandbox",
            "disable-dev-shm-usage",
        ]:
            options.add_argument(_)
        driver = webdriver.Chrome(service=service, options=options)
        driver.implicitly_wait(3)
        driver.set_page_load_timeout(3)
        driver.get("http://127.0.0.1:8000/")
        driver.add_cookie(cookie)
        driver.get(url)
    except Exception as e:
        driver.quit()
        print(str(e))
        # return str(e)
        return False
    driver.quit()
    return True


def check_csrf(param, cookie={"name": "name", "value": "value"}):
    url = f"http://127.0.0.1:8000/vuln?param={urllib.parse.quote(param)}"
    return read_url(url, cookie)


@app.route("/")
def index():
    session_id = request.cookies.get('sessionid', None)
    try:
        username = session_storage[session_id]
    except KeyError:
        return render_template('index.html', text='please login')

    return render_template('index.html', text=f'Hello {username}, {"flag is " + FLAG if username == "admin" else "you are not an admin"}')


@app.route("/vuln")
def vuln():
    param = request.args.get("param", "").lower()
    xss_filter = ["frame", "script", "on"]
    for _ in xss_filter:
        param = param.replace(_, "*")
    return param


@app.route("/flag", methods=["GET", "POST"])
def flag():
    if request.method == "GET":
        return render_template("flag.html")
    elif request.method == "POST":
        param = request.form.get("param", "")
        session_id = os.urandom(16).hex()
        session_storage[session_id] = 'admin'
        if not check_csrf(param, {"name":"sessionid", "value": session_id}):
            return '<script>alert("wrong??");history.go(-1);</script>'

        return '<script>alert("good");history.go(-1);</script>'


@app.route('/login', methods=['GET', 'POST'])
def login():
    if request.method == 'GET':
        return render_template('login.html')
    elif request.method == 'POST':
        username = request.form.get('username')
        password = request.form.get('password')
        try:
            pw = users[username]
        except:
            return '<script>alert("not found user");history.go(-1);</script>'
        if pw == password:
            resp = make_response(redirect(url_for('index')) )
            session_id = os.urandom(8).hex()
            session_storage[session_id] = username
            resp.set_cookie('sessionid', session_id)
            return resp 
        return '<script>alert("wrong password");history.go(-1);</script>'


@app.route("/change_password")
def change_password():
    pw = request.args.get("pw", "")
    session_id = request.cookies.get('sessionid', None)
    try:
        username = session_storage[session_id]
    except KeyError:
        return render_template('index.html', text='please login')

    users[username] = pw
    return 'Done'

app.run(host="0.0.0.0", port=8000)

 

 

users = { ... }

 

users = {
    'guest': 'guest',
    'admin': FLAG
}

 

이 부분은 사용자 정보를 담은 딕셔너리를 정의하고 있다. (파이썬에서 딕셔너리를 정의하는 문법을 오랜만에 떠올렸다.)

 

음... id에 'guest'를 넣고 password에 'guest' 넣었을 때 로그인에 성공하면 

딕셔너리의 key : value가 username : password 를 정의하는 것이다.

 

한 번 시도를 해보았다.

 

 

오!

 

/login 페이지에서 username에 'gues', password에 'guest'를 넣었더니 

guest로 로그인되었음을 확인할 수 있는 문구가 출력되었다.

.

.

.

 

그 말은 즉,

admin 계정으로 로그인하려면, username에 'admin'을 넣으면 되는 것이고,

password는 FLAG라고 적혀있는 것을 보니 password 값을 구하는 것이 관건인 것 같다.

 

그러니까 이제부터 password 값을 구하기 위해 app.py의 나머지 부분을 분석해보겠다.

 

 

@app.route("/")

@app.route("/")
def index():
    session_id = request.cookies.get('sessionid', None)
    try:
        username = session_storage[session_id]
    except KeyError:
        return render_template('index.html', text='please login')

    return render_template('index.html', text=f'Hello {username}, {"flag is " + FLAG if username == "admin" else "you are not an admin"}')

 

 

이 부분은 초기 화면을 정의하는데,

지금 상황(guest로 로그인을 성공했고, username이 admin인 것을 아는 상황)에서 주목할 만한 부분은

return render_template('index.html', text=f'Hello {username}, {"flag is " + FLAG if username == "admin" else "you are not an admin"}') 부분이다.

 

 

로그인을 했을 때, admin이 아니면, "Hello {username}, you are not an admin" 을 출력하고,

admin으로 로그인을 성공했을 때, "Hello {username}, flag is " + FLAG" 를 출력한다.

 

이렇게 정의되어 있기 때문에 내가 방금 전에 'guest'로 로그인했을 때,

"Hello guest, you are not an admin" 문구가 출력된 것이다.

 

 

@app.route("/vuln")

@app.route("/vuln")
def vuln():
    param = request.args.get("param", "").lower()
    xss_filter = ["frame", "script", "on"]
    for _ in xss_filter:
        param = param.replace(_, "*")
    return param

 

받아온 param 값을 모두 소문자로 바꾼 다음, 

"frame", "script", "on" 일 경우 필터링하기 때문에 해당 문자열을 사용할 수 없다는 것을 알려준다.

 

그렇기 때문에 img 태그를 활용할 것이다.

 

 

@app.route("/change_password")

@app.route("/change_password")
def change_password():
    pw = request.args.get("pw", "")
    session_id = request.cookies.get('sessionid', None)
    try:
        username = session_storage[session_id]
    except KeyError:
        return render_template('index.html', text='please login')

    users[username] = pw
    return 'Done'

 

문제 페이지에서는 볼 수 없었던 "/change_password" 경로를 정의하는 부분이다.

 

이 부분을 보면 /change_password 페이지에서 GET 방식으로  pw 매개변수의 값을 가져와 pw에 그 값을 할당한다는 것을 알 수 있다.

(주소창에 /change_password?pw=1234 라고 입력하고 전송하면 pw에 1234를 할당하는 것이다.)

 

그 뒤에 users에 pw 값을 업데이트하여 저장한다.

 

 

@app.route('/login', methods=['GET', 'POST'])

 

@app.route('/login', methods=['GET', 'POST'])
def login():
    if request.method == 'GET':
        return render_template('login.html')
    elif request.method == 'POST':
        username = request.form.get('username')
        password = request.form.get('password')
        try:
            pw = users[username]
        except:
            return '<script>alert("not found user");history.go(-1);</script>'
        if pw == password:
            resp = make_response(redirect(url_for('index')) )
            session_id = os.urandom(8).hex()
            session_storage[session_id] = username
            resp.set_cookie('sessionid', session_id)
            return resp 
        return '<script>alert("wrong password");history.go(-1);</script>'

 

그리고 /login 페이지를 동작시키는 코드를 보면

/login 페이지에서 입력받아온 password 값이 pw 값이랑 같을 때,

사용자를 'index'로 리다이렉션하는 응답 객체를 발생시킨다.

.

.

.

아까 index 함수를 정의할 때, admin으로 로그인에 성공하면, "Hello {username}, flag is " + FLAG" 를 출력한다고 했다.

 

 

 

그렇다면!

 

1. /vuln(csrf) page에 img 태그를 사용할 수 있는 취약점이 있음.

2. pw 값은 /change_password 페이지에서 GET 방식으로 값을 받아들여 admin의 password가 됨.

.

.

.

 

위의 사실을 알아냈으니,

/flag 페이지에  <img src="/change_password?pw=1" /> 를 입력해서 password 값을 1로 바꿔주고 로그인을 시도해보자.

 

4

 

 

초기 화면 페이지로 리다이렉션 되면서 예상대로 flag 값이 나타났다.

 

 

 

성공!!

---

[3] 느낀 점

 

파이썬 문법도 잘 알아야 웹이 작동하는 방식을 잘 이해할 수 있겠다는 생각이 들었다!

(처음에 user를 딕셔너리로 정의하는 부분을 해석하지 못해서 문제 풀이에 어려움을 겪었었다.)