[Dreamhack/드림핵] session

 

 

 

---

[1] 문제 풀이

 

(1) 웹 페이지 분석

 

cookie 문제와 페이지 구성이 동일하다.

Home 페이지와 About페이지는 차이가 없다.

(About을 누르면 URL링크 마지막에 '#'이 붙는다는 정도...?)

 

 

Login 화면까지 똑같았다.

알아낼 수 있는 것이 없어서 바로 문제 파일을 분석해보았다.

 

 

(2) 문제 파일 분석

⚙️app.py

#!/usr/bin/python3
from flask import Flask, request, render_template, make_response, redirect, url_for

app = Flask(__name__)

try:
    FLAG = open('./flag.txt', 'r').read()
except:
    FLAG = '[**FLAG**]'

users = {
    'guest': 'guest',
    'user': 'user1234',
    'admin': FLAG
}

session_storage = {
}

@app.route('/')
def index():
    session_id = request.cookies.get('sessionid', None)
    try:
        username = session_storage[session_id]
    except KeyError:
        return render_template('index.html')

    return render_template('index.html', text=f'Hello {username}, {"flag is " + FLAG if username == "admin" else "you are not admin"}')

@app.route('/login', methods=['GET', 'POST'])
def login():
    if request.method == 'GET':
        return render_template('login.html')
    elif request.method == 'POST':
        username = request.form.get('username')
        password = request.form.get('password')
        try:
            pw = users[username]
        except:
            return '<script>alert("not found user");history.go(-1);</script>'
        if pw == password:
            resp = make_response(redirect(url_for('index')) )
            session_id = os.urandom(4).hex()
            session_storage[session_id] = username
            resp.set_cookie('sessionid', session_id)
            return resp 
        return '<script>alert("wrong password");history.go(-1);</script>'

if __name__ == '__main__':
    import os
    session_storage[os.urandom(1).hex()] = 'admin'
    print(session_storage)
    app.run(host='0.0.0.0', port=8000)

 

 

users = {
    'guest': 'guest',
    'user': 'user1234',
    'admin': FLAG
}

 

부분을 보고, username과 password에 각각의 값을 입력하여 로그인을 시도해보았다.

 

 

 

guest - guest 로 로그인을 시도한 결과 / 페이지에 위의 화면과 같은 문구가 나타났다.

 

username은 guest였고,

sessionid 항목의 쿠키값이 어떤 값을 인코딩한 것처럼 되어있었다.

 

 

 

 

 

        if pw == password:
            resp = make_response(redirect(url_for('index')) )
            session_id = os.urandom(4).hex()
            session_storage[session_id] = username
            resp.set_cookie('sessionid', session_id)
            return resp 
        return '<script>alert("wrong password");history.go(-1);</script>'



if __name__ == '__main__':
    import os
    session_storage[os.urandom(1).hex()] = 'admin'
    print(session_storage)
    app.run(host='0.0.0.0', port=8000)

 

 

app.py에서 이 부분을 보면, 잘은 모르겠으나... session_id가 어떠한 규칙에 의해 값이 조작되어 변수에 저장되는 것으로 보였다.

 

 

이 이상으로는 알아낼 수 있는 게 없어서 구글링을 통해 문제를 해결했다.

 

 

---

찾아보니,

        if pw == password:
            resp = make_response(redirect(url_for('index')) )
            session_id = os.urandom(4).hex()
            session_storage[session_id] = username
            resp.set_cookie('sessionid', session_id)
            return resp 
        return '<script>alert("wrong password");history.go(-1);</script>'



if __name__ == '__main__':
    import os
    session_storage[os.urandom(1).hex()] = 'admin'
    print(session_storage)
    app.run(host='0.0.0.0', port=8000)

 

이 코드 부분에서 os.urandom(4).hex() 함수는 4바이트의 무작위 바이트 문자열을 생성하고, 이를 16진수 형식의 문자열로 변환하여 반환한다. 즉, 8개의 16진수 문자로 이루어진 문자열이 생성된다. 이렇게 생성된 문자열은 세션 ID로 사용된다.

 

그런 다음, 세션 ID를 키로 하여 session_storage 딕셔너리에 사용자 이름을 저장한다. 이렇게 하면 해당 세션 ID가 로그인에 성공한 사용자의 세션을 나타내게 된다. (세션 ID는 클라이언트에게 쿠키로 전송되어 나중에 클라이언트가 서버로 요청을 보낼 때 세션을 식별하는 데 사용된다.)

 

따라서 로그인에 성공한 사용자의 세션 정보가 session_storage에 저장되고, 클라이언트에게는 해당 세션 ID가 세션 쿠키로 설정되어 반환된다. 이를 통해 서버는 이후 클라이언트가 요청을 보낼 때 해당 세션을 식별하고 사용자를 인증할 수 있다.

 

 

이 코드에서는 관리자(admin)의 세션 ID를 1바이트(즉, 2자리 16진수)의 무작위 값으로 설정하고 있다.

하지만 1바이트로는 가능한 값이 256가지뿐으로 매우 적은 편이다.

즉, 공격자는 256번 시도하면서 가능한 모든 세션 ID를 찾을 수 있다.

이렇게 찾은 세션 ID를 사용하면 관리자 계정으로 로그인할 수 있게 된다.

(⭐ 따라서 이 코드는 보안상 취약점을 가지고 있다. 세션 ID는 매우 예측이 어렵고 안전한 값이어야 한다. 1바이트로는 안전한 세션 ID를 만들기 어렵기 때문에 보안을 강화하려면 더 많은 비트(바이트)를 사용하여 무작위한 값을 생성해야 한다.)

 

burp suite 의 intruder기능을 이용하여 무작위 대입 공격을 시도할 수 있다고 한다.

 

 

 

---

 

/index 페이지에 접속하는 패킷을 캡처하였다.

 

원래 풀이대로라면 쿠키값도 같이 나와야 하는 것 같은데...

왜 나는 나오지 않는 건지 모르겠다.

 

임의로 코드를 추가해보았다.

 

 

 

 

공격을 시도해보았다.

 

 

 

이렇게 하는 게 맞는 것 같다.

길이가 다른 값을 찾아냈다.

 

 

값을 입력하여 플래그 값을 찾아냈다.

 

 

 

풀이 성공!

 

---

[2] 느낀 점

 

세션 ID가 너무 짧고 예측 가능하다면, 공격자가 해당 세션 ID를 추측하여 관리자 계정으로 로그인할 수 있다.

세션 ID는 매우 예측이 어려우며, 안전한 무작위 값이어야 한다는 것을 알게 되었다.

따라서 적절한 보안 수준을 유지하기 위해 더 많은 비트(바이트)를 사용하여 무작위한 값을 생성하는 것이 필요할 것이다.