먼저 코드를 살펴보자
#!/usr/bin/python3
from flask import Flask, request, render_template, make_response, redirect, url_for
from selenium.webdriver.common.by import By
from selenium import webdriver
from hashlib import md5
import urllib
import os
app = Flask(__name__)
app.secret_key = os.urandom(32)
try:
FLAG = open("./flag.txt", "r").read()
except:
FLAG = "[**FLAG**]"
users = {
'guest': 'guest',
'admin': FLAG
}
session_storage = {}
token_storage = {}
def read_url(url, cookie={"name": "name", "value": "value"}):
cookie.update({"domain": "127.0.0.1"})
options = webdriver.ChromeOptions()
try:
for _ in [
"headless",
"window-size=1920x1080",
"disable-gpu",
"no-sandbox",
"disable-dev-shm-usage",
]:
options.add_argument(_)
driver = webdriver.Chrome("/chromedriver", options=options)
driver.implicitly_wait(3)
driver.set_page_load_timeout(3)
driver.get("http://127.0.0.1:8000/login")
driver.add_cookie(cookie)
driver.find_element(by=By.NAME, value="username").send_keys("admin")
driver.find_element(by=By.NAME, value="password").send_keys(users["admin"])
driver.find_element(by=By.NAME, value="submit").click()
driver.get(url)
except Exception as e:
driver.quit()
# return str(e)
return False
driver.quit()
return True
def check_csrf(param, cookie={"name": "name", "value": "value"}):
url = f"http://127.0.0.1:8000/vuln?param={urllib.parse.quote(param)}"
return read_url(url, cookie)
@app.route("/")
def index():
session_id = request.cookies.get('sessionid', None)
try:
username = session_storage[session_id]
except KeyError:
return render_template('index.html', text='please login')
return render_template('index.html', text=f'Hello {username}, {"flag is " + FLAG if username == "admin" else "you are not an admin"}')
@app.route("/vuln")
def vuln():
param = request.args.get("param", "").lower()
xss_filter = ["frame", "script", "on"]
for _ in xss_filter:
param = param.replace(_, "*")
return param
@app.route("/flag", methods=["GET", "POST"])
def flag():
if request.method == "GET":
return render_template("flag.html")
elif request.method == "POST":
param = request.form.get("param", "")
if not check_csrf(param):
return '<script>alert("wrong??");history.go(-1);</script>'
return '<script>alert("good");history.go(-1);</script>'
@app.route('/login', methods=['GET', 'POST'])
def login():
if request.method == 'GET':
return render_template('login.html')
elif request.method == 'POST':
username = request.form.get('username')
password = request.form.get('password')
try:
pw = users[username]
except:
return '<script>alert("user not found");history.go(-1);</script>'
if pw == password:
resp = make_response(redirect(url_for('index')) )
session_id = os.urandom(8).hex()
session_storage[session_id] = username
token_storage[session_id] = md5((username + request.remote_addr).encode()).hexdigest()
resp.set_cookie('sessionid', session_id)
return resp
return '<script>alert("wrong password");history.go(-1);</script>'
@app.route("/change_password")
def change_password():
session_id = request.cookies.get('sessionid', None)
try:
username = session_storage[session_id]
csrf_token = token_storage[session_id]
except KeyError:
return render_template('index.html', text='please login')
pw = request.args.get("pw", None)
if pw == None:
return render_template('change_password.html', csrf_token=csrf_token)
else:
if csrf_token != request.args.get("csrftoken", ""):
return '<script>alert("wrong csrf token");history.go(-1);</script>'
users[username] = pw
return '<script>alert("Done");history.go(-1);</script>'
app.run(host="0.0.0.0", port=8000)
login()에서는 csrf를 체크한다.
일단 csrf를 만드는 과정이 고정되어있다는 것을 알았다.
근데 request.remote_addr이 뭔지 몰라 알아보았더니 요청을 보내는 사용자의 ip주소였다.
그렇다면 csrf 토큰은 username과 사용자의 ip 주소로 이루어져 있다는 것을 알았고 그 어떤 랜덤난수도 생성되지는 않았다.
그렇다는건 충분히 예측 가능하다는 것이었다.
change_passowrod에서는 세션의 csrf_token을 가져와 get요청에 csrf토큰과 같은지 확인을 한다.
같다면 성공적으로 패스워드를 바꾸어준다.
read_url()에 셀레니움을 살펴보자.
127.0.0.1이라는 호스트로 접속하고 admin아이디와 admin의 pw로 로그인을 한다.
나는 그럼 csrf취약점을 이용해 로그인 되어있는 admin의 권한을 이용할 것이다.
admin의 권한으로 change_password로 접속하게 하고 예측한 csrf토큰을 get으로 던져준다.
그러면 로그인되어있는 admin의 토큰과 get으로 받은 토큰이 일치하며 비밀번호가 변경될 것이다.
자 먼저 코드에서 어떤 계정이 있는지 보자.
일단 아래를 보면 guest로 로그인 할 수 있다.
아래처럼 로그인을 하고
Change Password에 들어가서 아무 패스워드나 입력해준다.
그러면 url의 param에 pw와 csrftoken이 보인다.
저 csrftoken을 admin의 것으로 한 뒤 admin사용자가 그 url로 접속하게 하면 비밀번호를 변경할 수 있다.
그러기 위해서 csrf 토큰을 예측해보겠다.
아까 코드에서 csrf토큰은 usename+ip를 md5로 인코딩한 후 hexdigest()처리를 하며 만들어진다.
username은 admin이고 ip가 127.0.0.1인 것도 알고 있다.(워게임 호스트)
그럼 조합하여 아래처럼 admin의 csrf토큰을 알아낼 수 있다.
<script>라던지 on이라던지 다 막혀있기 때문에 img src를 이용하겠다.
아래와 같은 /flag엔드포인트에 사용자가 이 url을 클릭한다는 전제로 보낸다.
<img src="/change_password?pw=jc0303&csrftoken=7505b9c72ab4aa94b1a4ed7b207b67fb">아래처럼 성공적으로 admin의 권한을 이용하여 비밀번호를 변경하고 로그인하며 flag를 얻었다.
csrf토큰은 절대적으로 고정된 값을 사용하면 안된다.
또한 예측하기 쉬운 난수또한 사용하면 안되고 브루트포스 공격을 방지하기 위해 길이도 길어야한다.
