Dreamhack/Web
[Dreamhack] csrf-2
h34hg0
2023. 4. 16. 18:38
문제
문제 파일 : app.py
#!/usr/bin/python3
from flask import Flask, request, render_template, make_response, redirect, url_for
from selenium import webdriver
import urllib
import os
app = Flask(__name__)
app.secret_key = os.urandom(32)
try:
FLAG = open("./flag.txt", "r").read()
except:
FLAG = "[**FLAG**]"
users = {
'guest': 'guest',
'admin': FLAG
}
session_storage = {}
def read_url(url, cookie={"name": "name", "value": "value"}):
cookie.update({"domain": "127.0.0.1"})
try:
options = webdriver.ChromeOptions()
for _ in [
"headless",
"window-size=1920x1080",
"disable-gpu",
"no-sandbox",
"disable-dev-shm-usage",
]:
options.add_argument(_)
driver = webdriver.Chrome("/chromedriver", options=options)
driver.implicitly_wait(3)
driver.set_page_load_timeout(3)
driver.get("http://127.0.0.1:8000/")
driver.add_cookie(cookie)
driver.get(url)
except Exception as e:
driver.quit()
print(str(e))
# return str(e)
return False
driver.quit()
return True
def check_csrf(param, cookie={"name": "name", "value": "value"}):
url = f"http://127.0.0.1:8000/vuln?param={urllib.parse.quote(param)}"
return read_url(url, cookie)
@app.route("/")
def index():
session_id = request.cookies.get('sessionid', None)
try:
username = session_storage[session_id]
except KeyError:
return render_template('index.html', text='please login')
return render_template('index.html', text=f'Hello {username}, {"flag is " + FLAG if username == "admin" else "you are not an admin"}')
@app.route("/vuln")
def vuln():
param = request.args.get("param", "").lower()
xss_filter = ["frame", "script", "on"]
for _ in xss_filter:
param = param.replace(_, "*")
return param
@app.route("/flag", methods=["GET", "POST"])
def flag():
if request.method == "GET":
return render_template("flag.html")
elif request.method == "POST":
param = request.form.get("param", "")
session_id = os.urandom(16).hex()
session_storage[session_id] = 'admin'
if not check_csrf(param, {"name":"sessionid", "value": session_id}):
return '<script>alert("wrong??");history.go(-1);</script>'
return '<script>alert("good");history.go(-1);</script>'
@app.route('/login', methods=['GET', 'POST'])
def login():
if request.method == 'GET':
return render_template('login.html')
elif request.method == 'POST':
username = request.form.get('username')
password = request.form.get('password')
try:
pw = users[username]
except:
return '<script>alert("not found user");history.go(-1);</script>'
if pw == password:
resp = make_response(redirect(url_for('index')) )
session_id = os.urandom(8).hex()
session_storage[session_id] = username
resp.set_cookie('sessionid', session_id)
return resp
return '<script>alert("wrong password");history.go(-1);</script>'
@app.route("/change_password")
def change_password():
pw = request.args.get("pw", "")
session_id = request.cookies.get('sessionid', None)
try:
username = session_storage[session_id]
except KeyError:
return render_template('index.html', text='please login')
users[username] = pw
return 'Done'
app.run(host="0.0.0.0", port=8000)풀이
문제페이지에 접속하면 다음과 같은 페이지를 볼 수 있다,
vuln(csrf) page 를 클릭하면 다음 화면의 페이지가 나온다.
param 파라미터에 스크립트를 넣었지만 아무런 동작이 되지 않는 것을 보아서는 스크립트를 필터링 하는 것을 알 수 있다.
그래서 이번에는 param 파라미터에 <img src='123' onerror="alert(1)"> 를 줘서 결과를 보니 src 는 필터링이 되지 않고, onerror 의 on 이 필터링 되는 것을 알 수 있다.
따라서 img 태그의 src 속성을 이용하여 원하는 페이지에 요청을 넣을 수 있다.
flag 페이지는 위 이미지와 같다.
login 페이지는 username 과 password 를 입력하여 로그인하는 페이지로 아무 값이나 입력하면 다음과 같은 알람이 나온다.
이제 문제파일의 코드를 보자.
users = {
'guest': 'guest',
'admin': FLAG
}
session_storage = {}
@app.route("/")
def index():
session_id = request.cookies.get('sessionid', None)
try:
username = session_storage[session_id]
except KeyError:
return render_template('index.html', text='please login')
return render_template('index.html', text=f'Hello {username}, {"flag is " + FLAG if username == "admin" else "you are not an admin"}')
위 코드는 / 경로 부분의 코드이다.
session_id 변수에 sessionid 쿠키 값을 가져와서 저장한다.
그리고 session_storage 딕셔너리에 키값이 session_id 인 값을 username에 저장하고 마지막 return 에서 username 이 admin 이면 flag를 화면에 출력해준다.
@app.route("/vuln")
def vuln():
param = request.args.get("param", "").lower()
xss_filter = ["frame", "script", "on"]
for _ in xss_filter:
param = param.replace(_, "*")
return param
/vuln 부분의 코드이다.
우리가 xss 공격을 시도했을 때, script와 on이 필터링 된 이유를 알 수 있다.
@app.route("/flag", methods=["GET", "POST"])
def flag():
if request.method == "GET":
return render_template("flag.html")
elif request.method == "POST":
param = request.form.get("param", "")
session_id = os.urandom(16).hex()
session_storage[session_id] = 'admin'
if not check_csrf(param, {"name":"sessionid", "value": session_id}):
return '<script>alert("wrong??");history.go(-1);</script>'
return '<script>alert("good");history.go(-1);</script>'
POST 요청을 받을 시, admin 계정의 새로운 16바이트 크기의 세션값을 생성하고, check_csrf 함수를 호출한다.
def read_url(url, cookie={"name": "name", "value": "value"}):
cookie.update({"domain": "127.0.0.1"})
try:
options = webdriver.ChromeOptions()
for _ in [
"headless",
"window-size=1920x1080",
"disable-gpu",
"no-sandbox",
"disable-dev-shm-usage",
]:
options.add_argument(_)
driver = webdriver.Chrome("/chromedriver", options=options)
driver.implicitly_wait(3)
driver.set_page_load_timeout(3)
driver.get("http://127.0.0.1:8000/")
driver.add_cookie(cookie)
driver.get(url)
except Exception as e:
driver.quit()
print(str(e))
# return str(e)
return False
driver.quit()
return True
def check_csrf(param, cookie={"name": "name", "value": "value"}):
url = f"http://127.0.0.1:8000/vuln?param={urllib.parse.quote(param)}"
return read_url(url, cookie)
check_csrf 함수와 read_url 함수는 문제 정보에서 말한 봇의 동작을 하는 함수이다.
@app.route('/login', methods=['GET', 'POST'])
def login():
if request.method == 'GET':
return render_template('login.html')
elif request.method == 'POST':
username = request.form.get('username')
password = request.form.get('password')
try:
pw = users[username]
except:
return '<script>alert("not found user");history.go(-1);</script>'
if pw == password:
resp = make_response(redirect(url_for('index')) )
session_id = os.urandom(8).hex()
session_storage[session_id] = username
resp.set_cookie('sessionid', session_id)
return resp
return '<script>alert("wrong password");history.go(-1);</script>'
입력 받은 패스워드와 저장되어 있는 패스워드의 값을 비교하여 맞으면 8바이트 크기의 세션값을 생성하여 저장하고 세션값을 쿠키에 저장한 페이지를 리턴한다.
@app.route("/change_password")
def change_password():
pw = request.args.get("pw", "")
session_id = request.cookies.get('sessionid', None)
try:
username = session_storage[session_id]
except KeyError:
return render_template('index.html', text='please login')
users[username] = pw
return 'Done'
/change_password 를 불러오면 pw 파라미터의 값으로 현제 세션에 맞는 계정의 패스워드를 변경해준다.
이를 이용하여 admin의 계정의 패스워드를 변경하면 admin의 세션값으로 플래그를 알아낼 수 있다.
/flag 에서 파라미터를 입력하면 그에 해당하는 경로를 봇이 확인한다.
봇은 127.0.0.1 에서 접속하므로 admin 계정임을 유추해볼 수 있다.
따라서 flag 페이지 입력란에 <img src="/change_password?pw=1234"> 를 입력하면 admin의 세션으로 접속하므로 admin의 패스워드를 1234로 변경할 수 있게 된다.
따라서 <img src="/change_password?pw=1234"> 입력 후, username = admin pw = 1234 로 로그인 하면 플래그를 알 수 있다.
