문제는 다음과 같다.
문제에서 주어진 사이트 접속 시 위와 같은 로그인 접속 창이 뜬다.
로그인 성공하면 플래그 값이 나타나는 문제처럼 보인다.
주어진 코드를 살펴보자 (파이썬코드)
#!/usr/bin/python3
from flask import Flask, request, render_template, g
import sqlite3
import os
import binascii
app = Flask(__name__)
app.secret_key = os.urandom(32)
try:
FLAG = open('./flag.txt', 'r').read()
except:
FLAG = '[**FLAG**]'
DATABASE = "database.db"
if os.path.exists(DATABASE) == False:
db = sqlite3.connect(DATABASE)
db.execute('create table users(userid char(100), userpassword char(100));')
db.execute(f'insert into users(userid, userpassword) values ("guest", "guest"), ("admin", "{binascii.hexlify(os.urandom(16)).decode("utf8")}");')
db.commit()
db.close()
def get_db():
db = getattr(g, '_database', None)
if db is None:
db = g._database = sqlite3.connect(DATABASE)
db.row_factory = sqlite3.Row
return db
def query_db(query, one=True):
cur = get_db().execute(query)
rv = cur.fetchall()
cur.close()
return (rv[0] if rv else None) if one else rv
@app.teardown_appcontext
def close_connection(exception):
db = getattr(g, '_database', None)
if db is not None:
db.close()
@app.route('/')
def index():
return render_template('index.html')
@app.route('/login', methods=['GET', 'POST'])
def login():
if request.method == 'GET':
return render_template('login.html')
else:
userid = request.form.get('userid')
userpassword = request.form.get('userpassword')
res = query_db(f'select * from users where userid="{userid}" and userpassword="{userpassword}"')
if res:
userid = res[0]
if userid == 'admin':
return f'hello {userid} flag is {FLAG}'
return f'<script>alert("hello {userid}");history.go(-1);</script>'
return '<script>alert("wrong");history.go(-1);</script>'
app.run(host='0.0.0.0', port=8000)
DB소스 코드 중 db.execute(f'insert into users(userid, userpassword) values ("guest", "guest"), ("admin", "{binascii.hexlify(os.urandom(16)).decode("utf8")}");') 확인할 수 있었다.
로그인 창에 guest,guest 입력 시 로그인에 성공하지만 아무것도 나타나진 않는다
흠 아무래도 admin 관리자 계정으로 로그인 해야 답을 알 수 있을거 같다.
{binascii.hexlify(os.urandom(16)).decode("utf8")}" <- 코드 검색 결과, 안전한 난수 생성 및 무작위의 16진수 문자열을 생성하는 데 사용되는 코드이며 무작위 문자열은 보안 토큰, 비밀 키 또는 임시 식별자 등 다양한 보안 프로그램에서 사용가능하다.
따라서 adnin 과 비밀번호는 아무 값이나 넣었더니
오 .. 이렇게 뜬다.
코드를 다시 확인해봐야겠다
그니까 admin 계정 비밀번호는 코드를 확인했을 때 숨겨져있는 것으로 보이며
SQL Injection 취약점을 이용하여 admin 계정 로그인에 성공해야하는 문제다 (뇌피셜)
우리는 비밀번호 칸을 무력화 시켜야하기 때문에 주석으로 달아준다면 ??
-> 아마 무효화되어 열리지 않을까
시도해봤더니
로그인 창 성공하면서
hello admin flag is DH{c1126c8d35d8deaa39c5dd6fc8855ed0} 를 확인할 수 있었다. !!!
(+ 주석 #으로 로그인할 때는 서버에러오류가 뜸)
드림핵_웹해킹_강의에서 다른 문제풀이 방법도 있으니 참고하면 좋을듯!!(-> 이미 스터디 시간에 애들끼리 풀어봤지롱ㅎ)
'소학회 > Dreamhack' 카테고리의 다른 글
| [Dreamhack] ServerSide: File Vulnerability (0) | 2023.11.14 |
|---|---|
| [Dreamhack]ServerSide: Command Injection (0) | 2023.11.14 |
| [Dreamhack_워게임] Carve Party 문제풀이 (0) | 2023.11.10 |
| [Dreamhack]NoSQL Injection (0) | 2023.11.08 |
| [Dreamhack_워게임] flying chars 문제풀이 (0) | 2023.11.07 |