🔍️문제 설명
쿠키와 세션으로 인증 상태를 관리하는 간단한 로그인 서비스입니다.
admin 계정으로 로그인에 성공하면 플래그를 획득할 수 있습니다.
플래그 형식은 DH{…} 입니다.
출처: dreamhack
📗문제 분석
문제 사이트(Home)에 접속하면 먼저 위와 같은 사이트를 볼 수 있습니다.
About은 눌러도 페이지가 이동하거나 무언가에 영향을 끼치지 않고 로그인을 누르면 로그인 페이지로 이동할 수 있습니다.
로그인 페이지에 접속하면 위 사진처럼 username과 password를 입력받아 로그인하는 것을 확인할 수 있습니다.
🖥️app.py
#!/usr/bin/python3
from flask import Flask, request, render_template, make_response, redirect, url_for
app = Flask(__name__)
try:
FLAG = open('./flag.txt', 'r').read()
except:
FLAG = '[**FLAG**]'
users = {
'guest': 'guest',
'user': 'user1234',
'admin': FLAG
}
session_storage = {
}
@app.route('/')
def index():
session_id = request.cookies.get('sessionid', None)
try:
username = session_storage[session_id]
except KeyError:
return render_template('index.html')
return render_template('index.html', text=f'Hello {username}, {"flag is " + FLAG if username == "admin" else "you are not admin"}')
@app.route('/login', methods=['GET', 'POST'])
def login():
if request.method == 'GET':
return render_template('login.html')
elif request.method == 'POST':
username = request.form.get('username')
password = request.form.get('password')
try:
pw = users[username]
except:
return '<script>alert("not found user");history.go(-1);</script>'
if pw == password:
resp = make_response(redirect(url_for('index')) )
session_id = os.urandom(4).hex()
session_storage[session_id] = username
resp.set_cookie('sessionid', session_id)
return resp
return '<script>alert("wrong password");history.go(-1);</script>'
if __name__ == '__main__':
import os
session_storage[os.urandom(1).hex()] = 'admin'
print(session_storage)
app.run(host='0.0.0.0', port=8000)
본 문제에서는 소스코드를 제공하고 있습니다.
주어진 소스코드를 분석하면 flask로 구성된 웹페이지임을 알 수 있습니다.
| 소스코드 | 분석 |
|---|---|
 | 루트 페이지(/)에 접속하면 sessionid이라는 쿠키의 값을 가져와 session_id라는 변수에 저장합니다.session_storage에서 session_id 의 key-value를 가져와 username에 저장하려고 시도하고, Key 오류가 발생할 경우(미존재) index.html을 출력합니다.키값을 가져온 경우 Hello, username을 출력하며, username이 admin인 경우 플래그 값을 출력합니다. |
 | /login 페이지에 GET Method로 접속한 경우 login.html을 띄워 사용자가 로그인할 수 있도록 로그인 폼을 출력합니다.POST Method로 접속한 경우 입력받은 username/password를 바탕으로 로그인 과정을 거칩니다.users에 저장된 key-value를 대조하여 - 존재하지 않는 경우(except) -> not found user라는 alert을 띄우고 이전페이지로 이동- 입력한 pw와 저장된 password가 동일한 경우 -> 로그인 프로세스를 거침(하단에 기술) - 입력한 pw와 저장된 password가 동일하지 않은 경우(맨 하단 return) -> wrong password라는 alert을 띄우고 이전페이지로 이동 |
 | 1바이트(8비트)의 무작위 바이트 문자열을 생성하고, 그것을 16진수 문자열로 변환합니다. 그다음 session_storage 라는 배열 안에 16진수 문자열과 admin을 key-value로 저장합니다. |
 | 실행하면 flag.txt 파일을 읽어 FLAG라는 변수에 저장합니다.users라는 배열을 guest, user, admin 계정을 만들고 비밀번호를 guest, user1234, FLAG값으로 설정합니다.session_storage라는 배열을 생성합니다. |
📖세션 관련 부분 추가분석
| Step | Code | Description |
|---|---|---|
| 1 (최초실행) | session_storage[os.urandom(1).hex()] = 'admin' | session_storage라는 배열에 key, value(admin)를 저장key: os.urandom(1): 1byte(8bit) 랜덤 값 생성.hex(): 16진수 문자열로 변환 |
2 (POST /login) | resp = make_response(redirect(url_for('index')) ) | Flask에서 사용되는 make_response() 함수를 사용하여 index 라우트(def index())로 redirect하는 응답 객체 생성 |
3 (POST /login) | session_id = os.urandom(4).hex() | 4byte의 랜덤 값을 16진수 문자열로 변환한 값을 session_id에 저장 |
4 (POST /login) | session_storage[session_id] = username | session_storage 배열에 key-value 값 저장key: Step-3에서 생성한 랜덤 값 value: 사용자가 입력한 username 값 |
5 (POST /login) | resp.set_cookie('sessionid', session_id) | sessionid 라는 쿠키값을 Step-3에서 생성한 랜덤 값으로 설정 |
6 (POST /login) | return resp | Step-2에서 생성한 HTTP 응답 객체를 사용자에게 리턴 Step-5에서 설정한 쿠키값과 함께 사용자는 index 페이지로 리다이렉트됨 |
✏️문제 풀이
brute force
공부한 내용을 기록하고 생각을 정리합니다.