하아아아앗
csrf-2 40번째 문제 가봅시다!!!
하지만 guest 로그인 후 flag 페이지에서 스크립트를 입력해도 good 창만 뜨고 입력 받은거에 뭐 뜨는 페이지가 없다
memo...memo 페이지 어디갔어...
뭔가 여기까지 시도 후 생각한건
1. memo페이지가 아마 admin으로 로그인하면 생기지않을까
2. 그래서 flag페이지에서 입력 후 그게 화면으로 출력되서 보이지않을까
라는 가설.
소스코드 보러가자!
#!/usr/bin/python3
from flask import Flask, request, render_template, make_response, redirect, url_for
from selenium import webdriver
from selenium.webdriver.chrome.service import Service
import urllib
import os
app = Flask(__name__)
app.secret_key = os.urandom(32)
try:
FLAG = open("./flag.txt", "r").read()
except:
FLAG = "[**FLAG**]"
users = {
'guest': 'guest',
'admin': FLAG
}
session_storage = {}
def read_url(url, cookie={"name": "name", "value": "value"}):
cookie.update({"domain": "127.0.0.1"})
try:
service = Service(executable_path="/chromedriver")
options = webdriver.ChromeOptions()
for _ in [
"headless",
"window-size=1920x1080",
"disable-gpu",
"no-sandbox",
"disable-dev-shm-usage",
]:
options.add_argument(_)
driver = webdriver.Chrome(service=service, options=options)
driver.implicitly_wait(3)
driver.set_page_load_timeout(3)
driver.get("http://127.0.0.1:8000/")
driver.add_cookie(cookie)
driver.get(url)
except Exception as e:
driver.quit()
print(str(e))
# return str(e)
return False
driver.quit()
return True
def check_csrf(param, cookie={"name": "name", "value": "value"}):
url = f"http://127.0.0.1:8000/vuln?param={urllib.parse.quote(param)}"
return read_url(url, cookie)
@app.route("/")
def index():
session_id = request.cookies.get('sessionid', None)
try:
username = session_storage[session_id]
except KeyError:
return render_template('index.html', text='please login')
return render_template('index.html', text=f'Hello {username}, {"flag is " + FLAG if username == "admin" else "you are not an admin"}')
@app.route("/vuln")
def vuln():
param = request.args.get("param", "").lower()
xss_filter = ["frame", "script", "on"]
for _ in xss_filter:
param = param.replace(_, "*")
return param
@app.route("/flag", methods=["GET", "POST"])
def flag():
if request.method == "GET":
return render_template("flag.html")
elif request.method == "POST":
param = request.form.get("param", "")
session_id = os.urandom(16).hex()
session_storage[session_id] = 'admin'
if not check_csrf(param, {"name":"sessionid", "value": session_id}):
return '<script>alert("wrong??");history.go(-1);</script>'
return '<script>alert("good");history.go(-1);</script>'
@app.route('/login', methods=['GET', 'POST'])
def login():
if request.method == 'GET':
return render_template('login.html')
elif request.method == 'POST':
username = request.form.get('username')
password = request.form.get('password')
try:
pw = users[username]
except:
return '<script>alert("not found user");history.go(-1);</script>'
if pw == password:
resp = make_response(redirect(url_for('index')) )
session_id = os.urandom(8).hex()
session_storage[session_id] = username
resp.set_cookie('sessionid', session_id)
return resp
return '<script>alert("wrong password");history.go(-1);</script>'
@app.route("/change_password")
def change_password():
pw = request.args.get("pw", "")
session_id = request.cookies.get('sessionid', None)
try:
username = session_storage[session_id]
except KeyError:
return render_template('index.html', text='please login')
users[username] = pw
return 'Done'
app.run(host="0.0.0.0", port=8000)
vuln 페이지 소스코드를 다시 줏어와서 한번 비교해본다
@app.route("/vuln")
def vuln():
param = request.args.get("param", "")
return param이건 xss-1 /vuln 소스코드
@app.route("/vuln")
def vuln():
return render_template("vuln.html")이건xss-2 /vuln 소스코드
@app.route("/vuln")
def vuln():
param = request.args.get("param", "").lower()
xss_filter = ["frame", "script", "on"]
for _ in xss_filter:
param = param.replace(_, "*")
return param이건 csrf-1 /vuln 소스코드
@app.route("/vuln")
def vuln():
param = request.args.get("param", "").lower()
xss_filter = ["frame", "script", "on"]
for _ in xss_filter:
param = param.replace(_, "*")
return param
이게 csrf-2 /vuln 소스코드.
csrf-1이랑 csrf-2랑 같은걸 알 수 있다 하지만 눈에띄게 다른 점이 있다면.
users = {
'guest': 'guest',
'admin': FLAG
}
session_storage = {}1. 사용자 db랑 session storage가 추가됐다.
-> 사용자 정보를 포함하는 딕셔너리입니다. admin 사용자에게는 플래그가 할당되어 있습니다. (출처 gpt)
-> 세션 ID와 사용자 이름을 매핑하기 위한 전역 변수를 사용합니다. (출처 gpt)
@app.route("/")
def index():
session_id = request.cookies.get('sessionid', None)
try:
username = session_storage[session_id]
except KeyError:
return render_template('index.html', text='please login')
return render_template('index.html', text=f'Hello {username}, {"flag is " + FLAG if username == "admin" else "you are not an admin"}')2. 로그인해야 flag가 보인다.
-> 세션 ID를 기반으로 사용자의 로그인 상태를 확인하고, 해당 사용자에게 인사합니다.
관리자인 경우 플래그를 노출합니다.
@app.route("/change_password")
def change_password():
pw = request.args.get("pw", "")
session_id = request.cookies.get('sessionid', None)
try:
username = session_storage[session_id]
except KeyError:
return render_template('index.html', text='please login')
users[username] = pw
return 'Done'
3. change_password 페이지가 새로 생겼다.
아무리 봐도 너무 수상해보이는 페이지다. 페이지에서 비번을 변경 후 admin으로 로그인해야 flag 보이는 문제인 것 같다.
gpt야 gpt야!
나:
@app.route("/change_password")
def change_password():
pw = request.args.get("pw", "")
session_id = request.cookies.get('sessionid', None)
try:
username = session_storage[session_id]
except KeyError:
return render_template('index.html', text='please login')
users[username] = pw
return 'Done'
페이지에 들어갔더니 done이라고만 뜨는데 여기서 change pasword하는 스크립트 알려줘
gpt:
`change_password` 함수는 사용자가 비밀번호를 변경하는 기능을 수행하는 부분입니다. 이 함수는 현재 로그인된 사용자의 비밀번호를 새로운 비밀번호로 변경하는 역할을 합니다. 하지만 현재 구조에서는 비밀번호 변경 요청을 처리하기 위한 방법이 명확히 드러나지 않고, 사용자에게 피드백으로 `'Done'`이라는 메시지만 반환합니다.
### 변경 요청 처리 흐름
1. **비밀번호 입력**: 사용자가 비밀번호 변경을 요청할 때, 새로운 비밀번호를 쿼리 매개변수로 제공해야 합니다.
2. **세션 ID 확인**: 요청에 포함된 쿠키에서 세션 ID를 가져오고, 해당 세션 ID로부터 사용자의 이름을 확인합니다.
3. **비밀번호 변경**: `users` 딕셔너리에서 사용자 이름을 키로 하여 새로운 비밀번호로 업데이트합니다.
### 비밀번호 변경 요청 예시
비밀번호를 변경하기 위한 URL 요청은 다음과 같은 형식이 될 것입니다:
```
http://127.0.0.1:8000/change_password?pw=new_password
```
여기서 `new_password`는 사용자가 변경하고자 하는 새로운 비밀번호입니다.
### 비밀번호 변경 시나리오
1. 사용자가 로그인한 상태에서 비밀번호를 변경하려고 할 때, 다음과 같은 URL로 요청을 보냅니다:
```plaintext
http://127.0.0.1:8000/change_password?pw=my_new_password
```
2. 서버는 `change_password` 함수가 호출되어 새로운 비밀번호를 처리합니다.
3. `session_storage`에서 세션 ID를 기반으로 현재 로그인한 사용자의 이름을 가져옵니다.
4. 가져온 사용자 이름을 사용하여 `users` 딕셔너리에서 비밀번호를 업데이트합니다.
5. 최종적으로 `'Done'` 메시지를 반환합니다.
### 최종적으로 확인할 점
- 비밀번호 변경 요청은 쿼리 문자열을 통해 이루어지므로, URL을 올바르게 구성해야 합니다.
- 비밀번호 변경 후에는 사용자가 비밀번호 변경을 확인할 수 있도록 적절한 메시지를 보여주거나 리디렉션을 구현할 수 있습니다.
### 비밀번호 변경 요청을 위한 전체 흐름 정리
1. **로그인된 사용자**: 사용자가 먼저 로그인해야 합니다.
2. **비밀번호 변경 요청**: 적절한 쿼리 매개변수를 사용하여 요청합니다.
3. **비밀번호 변경 처리**: 서버가 요청을 처리하여 비밀번호를 변경합니다.
4. **결과 확인**: 사용자가 변경된 비밀번호로 다시 로그인할 수 있도록 안내합니다.
이러한 과정을 통해 비밀번호를 변경할 수 있습니다. 만약 추가적인 기능(예: 비밀번호 확인, 성공/실패 피드백 등)을 구현하고 싶다면, 추가적인 로직을 작성해야 합니다.
gpt가 알려준 스크립트로 1234로 비번 변경했더니 guest/guest가 guest/1234로 변경됐다...허헛!
admin을 그럼 어떻게 바꾸지....(먼산)
블로그 해설을 보자
https://ascrim9.tistory.com/20
[Dreamhack] csrf-2 - Writeup
문제 분석 guest : guest로 로그인 admin으로 로그인 하면 flag를 출력해 주는 것 같습니다. 코드 #!/usr/bin/python3 from flask import Flask, request, render_template, make_response, redirect, url_for from selenium import webdriver im
ascrim9.tistory.com
캬
맞네 ㅋㅋㅋ
csrf-1의 문제가 아래와 같았다면
서버가 param값을 읽게끔 스크립트가 포함된 url을 넣어서 그걸 전달하면 access가 되서 flag가 보인다
csrf-2의 문제는
로그인을 해야 flag가 보이는데 로그인을 하기 위해서 비번을 변경해야한다. 비번을 변경하는 방법으로는
서버가 param값을 읽게끔 스크립트가 포함된 url을 넣어서 그걸 전달하면 access가 되서 flag가 보인다
이거인 것 같다.
껄껄
<img src="/change_password?pw=admin">
입력하면 admin/admin으로 password가 변경된다
'Dreamhack > Dreamhack Wargame (Challenge)' 카테고리의 다른 글
| [42] IT 비전공자 [dreamhack]rev-basic-3 문제 풀기 (6) | 2024.10.21 |
|---|---|
| [41] IT 비전공자 [dreamhack]image-storage문제 풀기 (2) | 2024.10.20 |
| [39] IT 비전공자 [dreamhack]csrf-1문제 풀기 (10) | 2024.10.18 |
| [38] IT 비전공자 [dreamhack]xss-2문제 풀기 (3) | 2024.10.17 |
| [37] IT 비전공자 [dreamhack]simple_sqli문제 풀기 (4) | 2024.10.16 |