문제 풀이
시작 페이지는 이와 같이 생겼다.
각 페이지들에 들어가 사이트주소를 확인해보자
Vuln(csrf) 페이지는 아래와 같이 생겼고
이런 url주소를 가지고 있다
http://host3.dreamhack.games:13318/vuln?param=%3Cscript%3Ealert(1)%3C/script%3E
Flag 페이지는 아래와 같이 생겼다 페이제에 나와있는 링크는 vun페이지 주소와 유사하게 생긴 것을 알 수 있다. 빈칸에 값을 넣고 제출하면 flag값을 얻을 수 있을 것 같다
flag페이지의 사이트 주소는 이렇게 생겼다 http://host3.dreamhack.games:13318/flag
Login 페이지는 아래와 같이 생겼다. http://host3.dreamhack.games:13318/login
이제 각 페이지를 구성하는 코드를 확인해보자
pp = Flask(__name__)
app.secret_key = os.urandom(32)
try:
FLAG = open("./flag.txt", "r").read()
except:
FLAG = "[**FLAG**]"
users = {
'guest': 'guest',
'admin': FLAG
}
session_storage = {}
def read_url(url, cookie={"name": "name", "value": "value"}):
cookie.update({"domain": "127.0.0.1"})
try:
service = Service(executable_path="/chromedriver")
options = webdriver.ChromeOptions()
for _ in [
"headless",
"window-size=1920x1080",
"disable-gpu",
"no-sandbox",
"disable-dev-shm-usage",
]:
options.add_argument(_)
driver = webdriver.Chrome(service=service, options=options)
driver.implicitly_wait(3)
driver.set_page_load_timeout(3)
driver.get("http://127.0.0.1:8000/")
driver.add_cookie(cookie)
driver.get(url)
except Exception as e:
driver.quit()
print(str(e))
# return str(e)
return False
driver.quit()
return True
def check_csrf(param, cookie={"name": "name", "value": "value"}):
url = f"http://127.0.0.1:8000/vuln?param={urllib.parse.quote(param)}"
return read_url(url, cookie)
@app.route("/")
def index():
session_id = request.cookies.get('sessionid', None)
try:
username = session_storage[session_id]
except KeyError:
return render_template('index.html', text='please login')
return render_template('index.html', text=f'Hello {username}, {"flag is " + FLAG if username == "admin" else "you are not an admin"}')
@app.route("/vuln")
def vuln():
param = request.args.get("param", "").lower()
xss_filter = ["frame", "script", "on"]
for _ in xss_filter:
param = param.replace(_, "*")
return param
@app.route("/flag", methods=["GET", "POST"])
def flag():
if request.method == "GET":
return render_template("flag.html")
elif request.method == "POST":
param = request.form.get("param", "")
session_id = os.urandom(16).hex()
session_storage[session_id] = 'admin'
if not check_csrf(param, {"name":"sessionid", "value": session_id}):
return '<script>alert("wrong??");history.go(-1);</script>'
return '<script>alert("good");history.go(-1);</script>'
@app.route('/login', methods=['GET', 'POST'])
def login():
if request.method == 'GET':
return render_template('login.html')
elif request.method == 'POST':
username = request.form.get('username')
password = request.form.get('password')
try:
pw = users[username]
except:
return '<script>alert("not found user");history.go(-1);</script>'
if pw == password:
resp = make_response(redirect(url_for('index')) )
session_id = os.urandom(8).hex()
session_storage[session_id] = username
resp.set_cookie('sessionid', session_id)
return resp
return '<script>alert("wrong password");history.go(-1);</script>'
@app.route("/change_password")
def change_password():
pw = request.args.get("pw", "")
session_id = request.cookies.get('sessionid', None)
try:
username = session_storage[session_id]
except KeyError:
return render_template('index.html', text='please login')
users[username] = pw
return 'Done'
app.run(host="0.0.0.0", port=8000)일단 코드를 통해 id:guest pw:guest인 사용자와 id: admin pw:Flag 값인 사용자가 있음을 알 수 있다.
Vuln 페이지의 url을 확인했을 때
vuln?param=<script>alert(1)</script> 인것을 확인 할 수 있는데 vuln 페이지 자체에는 <*>alert(1) 로 출력되어 있는 것을 통해 사이트 주소 변경과정에서
<script>코드는 사용 불가하지만 <, >, *, alert(1)은 모두 사용 가능함을 알 수 있다.
해당 페이지의 코드를 확인해보면
def vuln():
param = request.args.get("param", "").lower()
xss_filter = ["frame", "script", "on"]
for _ in xss_filter:
param = param.replace(_, "*")
return paramxss filer이 frame, script, on을 *로 바꿔버리는 것을 확인할 수 있다.
즉,
<script>는 사용할 수 없지만 <,>는 사용할 수 있으므로 html태그를 이용해야 한다.
일단 guest id와 pw로 로그인을 해보자
와 같은 화면이 뜬다.
코드를 살펴보면 flag 값은 admin계정의 pw이자 admin계정으로 로그인 성공하면 주어진다는 것을 알 수 있다.
코드에서 ./change_password 페이지가 있음을 알 수 있으므로 이 페이지로 이동해서 admin의 pw를 바꿔 admin으로 로그인해야겠다.
Flag 페이지는 session id가
session_storage[session_id] = 'admin'로 무조건 admin으로 인식되므로 flag페이지에서 주어진 입력칸에 change_password 페이지로 이동하는 태그를 입력한다.
이때 html태그만을 이용해야 하므로
<img>태그를 이용하여
<img src = “/change_password?pw=admin”> 을 넣어주면 admin계정의 pw를 admin 으로 변경할 수 있다.
이를 제출하고 바뀐 pw로 다시 로그인하면
와 같이 admin으로 로그인되고 flag값이 출력되는 것을 확인할 수 있다.
느낀점
나는 이 문제는 param=다음에 바로 change_password가 나오면 안되고 왜 img태그나 나와야 하는지 이해하지 못해서 막혔었다.
찾아본 결과 vuln페이지에서
<script>alter(1)</script>가 <*>alert(1)로 나타나는 걸 알 수 있다 즉,
<script>코드는 사용 불가하지만 < >는 사용 가능하다 따라서 html태그 이용한 csrf공격을 해야 한다.
js태그는 모두 필터링 되므로 html태그만 사용 가능하다는 것을 알 수 있었다.
따라서 img태그를 사용한 이유는 사용가능한 태그 중 가장 간단한 것이기 때문이고 다른 사용 가능한 태그 목록으로는
<img src='url' width=0px height=0px>
<img src="link">
<img src=1 onerror="fetch('/link');">
<link rel="stylesheet" href="link">가 있다는 것을 알 수 있었다.
