[Dreamhack/드림핵] cookie

 

 

---

[1] 문제 분석

 

(1) 웹 페이지 분석

 

 

 

문제 페이지에 들어가면 나오는 페이지이다.

 

위의 페이지 목록 중에 Home, About 을 클릭해도 같은 화면이 나온다.

 

 

 

 

 

Login 을 누르면 

위와 같은 페이지가 나온다.

 

 

 

 

username에 1234

password에 1234를 입력하였더니 위와 같은 메세지 팝업창이 나왔다.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

문제에서 "admin 계정으로 로그인에 성공하면 ..." 이라고 했던 문구를 떠올려,

username에 admin을,

password에 admin을 입력하였다.

 

그랬더니 "wrong password"라는 메세지 팝업창이 나타났다.

 

아까는 "not found user"라고 했는데, 이번엔 틀린 패스워드라는 알림이 뜨는 걸로 봐서, username이 admin은 맞는 것 같았다.

 

 

(2) 문제 파일 분석

⚙️app.py

#!/usr/bin/python3
from flask import Flask, request, render_template, make_response, redirect, url_for

app = Flask(__name__)

try:
    FLAG = open('./flag.txt', 'r').read()
except:
    FLAG = '[**FLAG**]'

users = {
    'guest': 'guest',
    'admin': FLAG
}

@app.route('/')
def index():
    username = request.cookies.get('username', None)
    if username:
        return render_template('index.html', text=f'Hello {username}, {"flag is " + FLAG if username == "admin" else "you are not admin"}')
    return render_template('index.html')

@app.route('/login', methods=['GET', 'POST'])
def login():
    if request.method == 'GET':
        return render_template('login.html')
    elif request.method == 'POST':
        username = request.form.get('username')
        password = request.form.get('password')
        try:
            pw = users[username]
        except:
            return '<script>alert("not found user");history.go(-1);</script>'
        if pw == password:
            resp = make_response(redirect(url_for('index')) )
            resp.set_cookie('username', username)
            return resp 
        return '<script>alert("wrong password");history.go(-1);</script>'

app.run(host='0.0.0.0', port=8000)

 

 

다운받은 app.py 파일이다.

 

 

 

users = {
    'guest': 'guest',
    'admin': FLAG
}

 

 

위의 부분을 보면 username을 guest, password를 guest로 로그인을 시도하면 될 것 같았다.

 

 

 

 

guest, guest로 로그인을 시도했더니 성공했다.

쿠키 값에 'username' 부분에 guest라는 값이 저장되어있는 것을 확인할 수 있었다.

 

 

 

@app.route('/')
def index():
    username = request.cookies.get('username', None)
    if username:
        return render_template('index.html', text=f'Hello {username}, {"flag is " + FLAG if username == "admin" else "you are not admin"}')
    return render_template('index.html')

 

 

app.py의 일부분인데,

/ 페이지에서, 'username' 부분에서 쿠키를 가져와 username이라는 변수에 대입하고,

그 username의 값이 "admin"일 경우 Hello username flag is FLAG 라는 문구를 출력하는 것을 알 수 있었다.

username의 값이 "admin"이 아닐 경우 you are not admin이라는 문구를 출력한다고 한다.

 

 

실제로 username을 guest로 하여 로그인을 시도했을 때, you are not admin이라는 문구를 / 페이지에서 확인할 수 있었다.

 

 

그렇다면, username에 저장된 쿠키 값을 admin으로 바꿔주겠다.

 

 

 

 

 

쿠키을 임의로 바꿔주어 flag 값을 획득할 수 있었다.