- 분류 전체보기 (279)
great minds think alike
[Dreamhack/드림핵] csrf-2 본문
https://dreamhack.io/wargame/challenges/269
[1] 문제 분석
# 문제 웹 페이지 분석
(1) /Home
초기 화면(Home 화면)이다.
(2) /vuln(csrf) page
script는 *로 대체되었고
/script는 공백 처리된 것 같다.
소스 코드도 이게 전부다.
(3) /flag 페이지
/vuln 경로에 param 매개변수를 전달할 때 넣을 값을 제출하면 되는 형식이다.
<!doctype html>
<html>
<head>
<link rel="stylesheet" href="/static/css/bootstrap.min.css">
<link rel="stylesheet" href="/static/css/bootstrap-theme.min.css">
<link rel="stylesheet" href="/static/css/non-responsive.css">
<title>Index CSRF-2</title>
<style type="text/css">
.important { color: #336699; }
</style>
</head>
<body>
<!-- Fixed navbar -->
<nav class="navbar navbar-default navbar-fixed-top">
<div class="container">
<div class="navbar-header">
<a class="navbar-brand" href="/">CSRF-2</a>
</div>
<div id="navbar">
<ul class="nav navbar-nav">
<li><a href="/">Home</a></li>
</ul>
<ul class="nav navbar-nav navbar-right">
</ul>
</div><!--/.nav-collapse -->
</div>
</nav>
<div class="container">
<form method="POST">
http://127.0.0.1:8000/vuln?param=<input type="text" name="param"/><br/>
<input type="submit"/><br/>
</form>
</div> <!-- /container -->
<!-- Bootstrap core JavaScript -->
<script src="/static/js/jquery.min.js"></script>
<script src="/static/js/bootstrap.min.js"></script>
</body>
</html>
/flag 페이지의 소스 코드이다.
방금 분석한 그대로이고, 이외에 딱히 힌트가 되는 내용은 없었다.
(4) /login 페이지
로그인을 할 수 있는 화면이 나타난다.
<!doctype html>
<html>
<head>
<link rel="stylesheet" href="/static/css/bootstrap.min.css">
<link rel="stylesheet" href="/static/css/bootstrap-theme.min.css">
<link rel="stylesheet" href="/static/css/non-responsive.css">
<title>Login CSRF-2</title>
</head>
<body>
<!-- Fixed navbar -->
<nav class="navbar navbar-default navbar-fixed-top">
<div class="container">
<div class="navbar-header">
<a class="navbar-brand" href="/">CSRF-2</a>
</div>
<div id="navbar">
<ul class="nav navbar-nav">
<li><a href="/">Home</a></li>
</ul>
<ul class="nav navbar-nav navbar-right">
</ul>
</div><!--/.nav-collapse -->
</div>
</nav>
<div class="container">
<h1>Login</h1><br/>
<form method="POST">
<div class="form-group">
<label for="InputName">username</label>
<input type="text" class="form-control" id="InputName" placeholder="username" name="username" required>
</div>
<div class="form-group">
<label for="InputPassword">password</label>
<input type="password" class="form-control" id="InputPassword" placeholder="password" name="password" required>
</div>
<button type="submit" class="btn btn-default">Login</button>
</form>
</div> <!-- /container -->
<!-- Bootstrap core JavaScript -->
<script src="/static/js/jquery.min.js"></script>
<script src="/static/js/bootstrap.min.js"></script>
</body>
</html>
/login 페이지의 소스 코드이다.
username과 password를 받아들이고 있다.
특별한 점은 없어보인다.
# 다운로드한 문제 파일 분석
⚙️ app.py
#!/usr/bin/python3
from flask import Flask, request, render_template, make_response, redirect, url_for
from selenium import webdriver
from selenium.webdriver.chrome.service import Service
import urllib
import os
app = Flask(__name__)
app.secret_key = os.urandom(32)
try:
FLAG = open("./flag.txt", "r").read()
except:
FLAG = "[**FLAG**]"
users = {
'guest': 'guest',
'admin': FLAG
}
session_storage = {}
def read_url(url, cookie={"name": "name", "value": "value"}):
cookie.update({"domain": "127.0.0.1"})
try:
service = Service(executable_path="/chromedriver")
options = webdriver.ChromeOptions()
for _ in [
"headless",
"window-size=1920x1080",
"disable-gpu",
"no-sandbox",
"disable-dev-shm-usage",
]:
options.add_argument(_)
driver = webdriver.Chrome(service=service, options=options)
driver.implicitly_wait(3)
driver.set_page_load_timeout(3)
driver.get("http://127.0.0.1:8000/")
driver.add_cookie(cookie)
driver.get(url)
except Exception as e:
driver.quit()
print(str(e))
# return str(e)
return False
driver.quit()
return True
def check_csrf(param, cookie={"name": "name", "value": "value"}):
url = f"http://127.0.0.1:8000/vuln?param={urllib.parse.quote(param)}"
return read_url(url, cookie)
@app.route("/")
def index():
session_id = request.cookies.get('sessionid', None)
try:
username = session_storage[session_id]
except KeyError:
return render_template('index.html', text='please login')
return render_template('index.html', text=f'Hello {username}, {"flag is " + FLAG if username == "admin" else "you are not an admin"}')
@app.route("/vuln")
def vuln():
param = request.args.get("param", "").lower()
xss_filter = ["frame", "script", "on"]
for _ in xss_filter:
param = param.replace(_, "*")
return param
@app.route("/flag", methods=["GET", "POST"])
def flag():
if request.method == "GET":
return render_template("flag.html")
elif request.method == "POST":
param = request.form.get("param", "")
session_id = os.urandom(16).hex()
session_storage[session_id] = 'admin'
if not check_csrf(param, {"name":"sessionid", "value": session_id}):
return '<script>alert("wrong??");history.go(-1);</script>'
return '<script>alert("good");history.go(-1);</script>'
@app.route('/login', methods=['GET', 'POST'])
def login():
if request.method == 'GET':
return render_template('login.html')
elif request.method == 'POST':
username = request.form.get('username')
password = request.form.get('password')
try:
pw = users[username]
except:
return '<script>alert("not found user");history.go(-1);</script>'
if pw == password:
resp = make_response(redirect(url_for('index')) )
session_id = os.urandom(8).hex()
session_storage[session_id] = username
resp.set_cookie('sessionid', session_id)
return resp
return '<script>alert("wrong password");history.go(-1);</script>'
@app.route("/change_password")
def change_password():
pw = request.args.get("pw", "")
session_id = request.cookies.get('sessionid', None)
try:
username = session_storage[session_id]
except KeyError:
return render_template('index.html', text='please login')
users[username] = pw
return 'Done'
app.run(host="0.0.0.0", port=8000)
users = { ... }
users = {
'guest': 'guest',
'admin': FLAG
}
이 부분은 사용자 정보를 담은 딕셔너리를 정의하고 있다. (파이썬에서 딕셔너리를 정의하는 문법을 오랜만에 떠올렸다.)
음... id에 'guest'를 넣고 password에 'guest' 넣었을 때 로그인에 성공하면
딕셔너리의 key : value가 username : password 를 정의하는 것이다.
한 번 시도를 해보았다.
오!
/login 페이지에서 username에 'gues', password에 'guest'를 넣었더니
guest로 로그인되었음을 확인할 수 있는 문구가 출력되었다.
.
.
.
그 말은 즉,
admin 계정으로 로그인하려면, username에 'admin'을 넣으면 되는 것이고,
password는 FLAG라고 적혀있는 것을 보니 password 값을 구하는 것이 관건인 것 같다.
그러니까 이제부터 password 값을 구하기 위해 app.py의 나머지 부분을 분석해보겠다.
@app.route("/")
@app.route("/")
def index():
session_id = request.cookies.get('sessionid', None)
try:
username = session_storage[session_id]
except KeyError:
return render_template('index.html', text='please login')
return render_template('index.html', text=f'Hello {username}, {"flag is " + FLAG if username == "admin" else "you are not an admin"}')
이 부분은 초기 화면을 정의하는데,
지금 상황(guest로 로그인을 성공했고, username이 admin인 것을 아는 상황)에서 주목할 만한 부분은
return render_template('index.html', text=f'Hello {username}, {"flag is " + FLAG if username == "admin" else "you are not an admin"}') 부분이다.
로그인을 했을 때, admin이 아니면, "Hello {username}, you are not an admin" 을 출력하고,
admin으로 로그인을 성공했을 때, "Hello {username}, flag is " + FLAG" 를 출력한다.
이렇게 정의되어 있기 때문에 내가 방금 전에 'guest'로 로그인했을 때,
"Hello guest, you are not an admin" 문구가 출력된 것이다.
@app.route("/vuln")
@app.route("/vuln")
def vuln():
param = request.args.get("param", "").lower()
xss_filter = ["frame", "script", "on"]
for _ in xss_filter:
param = param.replace(_, "*")
return param
받아온 param 값을 모두 소문자로 바꾼 다음,
"frame", "script", "on" 일 경우 필터링하기 때문에 해당 문자열을 사용할 수 없다는 것을 알려준다.
그렇기 때문에 img 태그를 활용할 것이다.
@app.route("/change_password")
@app.route("/change_password")
def change_password():
pw = request.args.get("pw", "")
session_id = request.cookies.get('sessionid', None)
try:
username = session_storage[session_id]
except KeyError:
return render_template('index.html', text='please login')
users[username] = pw
return 'Done'
문제 페이지에서는 볼 수 없었던 "/change_password" 경로를 정의하는 부분이다.
이 부분을 보면 /change_password 페이지에서 GET 방식으로 pw 매개변수의 값을 가져와 pw에 그 값을 할당한다는 것을 알 수 있다.
(주소창에 /change_password?pw=1234 라고 입력하고 전송하면 pw에 1234를 할당하는 것이다.)
그 뒤에 users에 pw 값을 업데이트하여 저장한다.
@app.route('/login', methods=['GET', 'POST'])
@app.route('/login', methods=['GET', 'POST'])
def login():
if request.method == 'GET':
return render_template('login.html')
elif request.method == 'POST':
username = request.form.get('username')
password = request.form.get('password')
try:
pw = users[username]
except:
return '<script>alert("not found user");history.go(-1);</script>'
if pw == password:
resp = make_response(redirect(url_for('index')) )
session_id = os.urandom(8).hex()
session_storage[session_id] = username
resp.set_cookie('sessionid', session_id)
return resp
return '<script>alert("wrong password");history.go(-1);</script>'
그리고 /login 페이지를 동작시키는 코드를 보면
/login 페이지에서 입력받아온 password 값이 pw 값이랑 같을 때,
사용자를 'index'로 리다이렉션하는 응답 객체를 발생시킨다.
.
.
.
아까 index 함수를 정의할 때, admin으로 로그인에 성공하면, "Hello {username}, flag is " + FLAG" 를 출력한다고 했다.
그렇다면!
1. /vuln(csrf) page에 img 태그를 사용할 수 있는 취약점이 있음.
2. pw 값은 /change_password 페이지에서 GET 방식으로 값을 받아들여 admin의 password가 됨.
.
.
.
위의 사실을 알아냈으니,
/flag 페이지에 <img src="/change_password?pw=1" /> 를 입력해서 password 값을 1로 바꿔주고 로그인을 시도해보자.
초기 화면 페이지로 리다이렉션 되면서 예상대로 flag 값이 나타났다.
성공!!
[3] 느낀 점
파이썬 문법도 잘 알아야 웹이 작동하는 방식을 잘 이해할 수 있겠다는 생각이 들었다!
(처음에 user를 딕셔너리로 정의하는 부분을 해석하지 못해서 문제 풀이에 어려움을 겪었었다.)
'SWLUG > 웹 해킹' 카테고리의 다른 글
| [Dreamhack/드림핵] Command Injection Advanced (1) | 2023.11.19 |
|---|---|
| [Dreamhack/드림핵] baby-linux (0) | 2023.11.16 |
| [Dreamhack/드림핵] csrf-1 (0) | 2023.11.10 |
| [Dreamhack/드림핵] XSS Filtering Bypass (0) | 2023.11.10 |
| [webhacking.kr] Challenge old-23 (0) | 2023.11.09 |
