simple_sqli_chatgpt | 워게임 | Dreamhack
다운받은 문제파일은 파이썬 파일이다
#!/usr/bin/python3
from flask import Flask, request, render_template, g
import sqlite3
import os
import binascii
app = Flask(__name__)
app.secret_key = os.urandom(32)
try:
FLAG = open('./flag.txt', 'r').read()
except:
FLAG = '[**FLAG**]'
DATABASE = "database.db"
if os.path.exists(DATABASE) == False:
db = sqlite3.connect(DATABASE)
db.execute('create table users(userid char(100), userpassword char(100), userlevel integer);')
db.execute(f'insert into users(userid, userpassword, userlevel) values ("guest", "guest", 0), ("admin", "{binascii.hexlify(os.urandom(16)).decode("utf8")}", 0);')
db.commit()
db.close()
def get_db():
db = getattr(g, '_database', None)
if db is None:
db = g._database = sqlite3.connect(DATABASE)
db.row_factory = sqlite3.Row
return db
def query_db(query, one=True):
cur = get_db().execute(query)
rv = cur.fetchall()
cur.close()
return (rv[0] if rv else None) if one else rv
@app.teardown_appcontext
def close_connection(exception):
db = getattr(g, '_database', None)
if db is not None:
db.close()
@app.route('/')
def index():
return render_template('index.html')
@app.route('/login', methods=['GET', 'POST'])
def login():
if request.method == 'GET':
return render_template('login.html')
else:
userlevel = request.form.get('userlevel')
res = query_db(f"select * from users where userlevel='{userlevel}'")
if res:
userid = res[0]
userlevel = res[2]
print(userid, userlevel)
if userid == 'admin' and userlevel == 0:
return f'hello {userid} flag is {FLAG}'
return f'<script>alert("hello {userid}");history.go(-1);</script>'
return '<script>alert("wrong");history.go(-1);</script>'
app.run(host='0.0.0.0', port=8000)
왼쪽은 기본 메인 페이지고, 0으로 로그인시 hello guest 문구가 뜬다.
아무래도 userlevel을 입력 후, 로그인을 시도하면 레벨과 일치하는 계정으로 로그인 되는듯 하다
코드를 보면 관리자 계정도 레벨 0 권한을 부여받았지만 여전히 게스트 계정으로 로그인 된다.
코드를 다시 보면
res = query_db(f"select * from users where userlevel='{userlevel}'")
users 테이블에서 userlevel과 일치하는 행의 모든 컬럼을 반환한다.
0번째 인덱스: userid, 2번째 인덱스: userlevel
userid가 admin 문자열과 일치할 경우 flag 값을 출력한다.
결론은 and 연산자를 사용하여 userid 컬럼 값이 admin 인 쿼리로 공격을 시도하면 된다!!
공격 쿼리문 : 0'and userid='admin
공격 시도 시, 플래그 획득 성공!!
'소학회 > Dreamhack' 카테고리의 다른 글
| [Dreamhack_워게임] dreamhack-tools-cyberchef 풀이 (0) | 2024.03.28 |
|---|---|
| [Dreamhack_워게임] Basic_Forensics_1 (0) | 2024.03.19 |
| [Dreamhack_워게임]64se64 풀이 (0) | 2024.02.27 |
| [Dreamhack_워게임] rev-basic-2 문제풀이 (0) | 2024.02.21 |
| [Dreamhack_워게임] rev-basic-1 문제풀이 (0) | 2024.02.21 |