https://dreamhack.io/wargame/challenges/269/
csrf-2
여러 기능과 입력받은 URL을 확인하는 봇이 구현된 서비스입니다. CSRF 취약점을 이용해 플래그를 획득하세요. Reference Client-side Basic
dreamhack.io
csrf 두 번째 문제이다.
홈 화면이다.
script 필터링이 적용된 상태이다. xss공격은 어려울 것 같다.
익스플로잇 코드를 적어낼 수 있는 공간이다.
로그인 화면이다. 코드를 확인하면서 취약점을 파악해보자.
users = {
'guest': 'guest',
'admin': FLAG
}
게스트의 아이디와 비밀번호를 알려줬다.
@app.route("/")
def index():
session_id = request.cookies.get('sessionid', None)
try:
username = session_storage[session_id]
except KeyError:
return render_template('index.html', text='please login')
return render_template('index.html', text=f'Hello {username}, {"flag is " + FLAG if username == "admin" else "you are not an admin"}')
username == "admin"이면 플래그를 보여준다. 혹시 모르니 guest로 로그인 후 세션값을 admin으로 바꿔보자.
역시 쉽게 풀리지 않는다. 좀 더 코드를 살펴보자.
@app.route("/change_password")
def change_password():
pw = request.args.get("pw", "")
session_id = request.cookies.get('sessionid', None)
try:
username = session_storage[session_id]
except KeyError:
return render_template('index.html', text='please login')
users[username] = pw
return 'Done'
홈 화면에서는 보이지 않던 페이지다.
코드를 해석해보자면 바꾸고자하는 패스워드와 sessionid를 입력해서 비밀번호를 바꾸는 것 같다.
@app.route("/flag", methods=["GET", "POST"])
def flag():
if request.method == "GET":
return render_template("flag.html")
elif request.method == "POST":
param = request.form.get("param", "")
session_id = os.urandom(16).hex()
session_storage[session_id] = 'admin'
if not check_csrf(param, {"name":"sessionid", "value": session_id}):
return '<script>alert("wrong??");history.go(-1);</script>'
return '<script>alert("good");history.go(-1);</script>'
코드를 삽입할 수 있는 페이지의 코드다. 여기서 sessionid가 생성되는 것이 보인다. 따라서 필수적으로 /flag페이지를 활용해서 문제를 풀여아 할 것 같다.
session_id에 랜덤한 수가 대입된다. 이 랜덤한 수가 session_storage에 'admin'과 쌍을 이루어 저장된다.
session_storage = {}session_storage는 딕셔너리이므로 쌍을 이루어 저장이 되는 것이다.
check_csrf에 우리가 입력한 값과 랜덤으로 생성된 session_id가 전달된다.
check_csrf로 가보자.
def check_csrf(param, cookie={"name": "name", "value": "value"}):
url = f"http://127.0.0.1:8000/vuln?param={urllib.parse.quote(param)}"
return read_url(url, cookie)
우리가 입력한 값이 url에 저장된다.
session_id는 sessionid라는 이름의 키와 쌍을 이루어 쿠키에 저장된다.
이 값들은read_url로 전달된다. read_url로 가보자.
def read_url(url, cookie={"name": "name", "value": "value"}):
cookie.update({"domain": "127.0.0.1"})
try:
options = webdriver.ChromeOptions()
for _ in [
"headless",
"window-size=1920x1080",
"disable-gpu",
"no-sandbox",
"disable-dev-shm-usage",
]:
options.add_argument(_)
driver = webdriver.Chrome("/chromedriver", options=options)
driver.implicitly_wait(3)
driver.set_page_load_timeout(3)
driver.get("http://127.0.0.1:8000/")
driver.add_cookie(cookie)
driver.get(url)
except Exception as e:
driver.quit()
print(str(e))
# return str(e)
return False
driver.quit()
return True
쿠키를 추가하고 url을 실행 시키는 것이 확인된다.
자 이제 익스플로잇 코드의 전체적인 도면을 짜보자.
/flag을 통해 admin의 session값을 만든다.
/vuln페이지는 스크립트 필터링이 적용 되어있다. 하지만 <img>태그는 사용이 가능하다. 따라서 <img src="">를 통해 /change_password에 접속을 시도한다. 매개변수 pw를 입력하여 admin의 비밀번호를 설정한다.
짜잔
'드림핵' 카테고리의 다른 글
| [드림핵]blind-command 풀이 (0) | 2023.03.12 |
|---|---|
| [드림핵]simple_sqli 풀이 (0) | 2023.03.11 |
| [드림핵]csrf-1 풀이 (0) | 2023.03.11 |
| [드림핵]xss-2 풀이 (0) | 2023.03.11 |
| [드림핵] xss-1 풀이 (0) | 2023.03.10 |
