📖 문제
https://dreamhack.io/wargame/challenges/269
📖 분석
문제를 보면 csrf 취약점을 이용해 플래그를 획득하는 문제이다.
사이트 및 문제 파일을 확인해보자
📗 / 페이지
@app.route("/")
def index():
session_id = request.cookies.get('sessionid', None)
try:
username = session_storage[session_id]
except KeyError:
return render_template('index.html', text='please login')
return render_template('index.html', text=f'Hello {username}, {"flag is " + FLAG if username == "admin" else "you are not an admin"}')코드를 확인해보면 session_id를 받고, session_storage에 넘겨주게된다.
admin 계정으로 로그인했다면 플래그를, 로그인을 안했다면 please login이라는 텍스트를 띄운다.
📗 /vuln 페이지
@app.route("/vuln")
def vuln():
param = request.args.get("param", "").lower()
xss_filter = ["frame", "script", "on"]
for _ in xss_filter:
param = param.replace(_, "*")
return paramxss공격이 되는 frame, script, on 키워드가 있다면 *로 저장되게 하였다.
xss 공격을 차단하였다.
📗 /flag 페이지
@app.route("/flag", methods=["GET", "POST"])
def flag():
if request.method == "GET":
return render_template("flag.html")
elif request.method == "POST":
param = request.form.get("param", "")
session_id = os.urandom(16).hex()
session_storage[session_id] = 'admin'
if not check_csrf(param, {"name":"sessionid", "value": session_id}):
return '<script>alert("wrong??");history.go(-1);</script>'
return '<script>alert("good");history.go(-1);</script>'플래그를 입력하는 창으로 보인다.
GET 요청이 있을 때 사진과 같이 출력하고, POST 요청이 있을 때는 입력받은 문자열을 param 파라미터에 저장을 한다. 그 후, admin 아이디의 session_id를 생성한다.
admin 계정으로 check_csrf 함수로 이동하게 된다.
📗 /login 페이지
@app.route('/login', methods=['GET', 'POST'])
def login():
if request.method == 'GET':
return render_template('login.html')
elif request.method == 'POST':
username = request.form.get('username')
password = request.form.get('password')
try:
pw = users[username]
except:
return '<script>alert("not found user");history.go(-1);</script>'
if pw == password:
resp = make_response(redirect(url_for('index')) )
session_id = os.urandom(8).hex()
session_storage[session_id] = username
resp.set_cookie('sessionid', session_id)
return resp
return '<script>alert("wrong password");history.go(-1);</script>'GET 메서드에서는 login.html 템플릿을 출력한다.
POST 메서드는 username과 password를 입력받고 일치하면 session_id를 생성 후 session_storage에 저장한다.
📗 /change_password 페이지
@app.route("/change_password")
def change_password():
pw = request.args.get("pw", "")
session_id = request.cookies.get('sessionid', None)
try:
username = session_storage[session_id]
except KeyError:
return render_template('index.html', text='please login')
users[username] = pw
return 'Done'크게 중요하지 않은 페이지이므로 스킵
📖 풀이
/flag 페이지에서 CSRF 공격이 가능하다.
/flag 페이지에서 admin의 session_id가 저장되므로 공격 코드가 삽입된 /flag 페이지에서 admin의 pw를 변경하기 위해서는 /change_password 페이지를 접근해야 한다.
이를 위해 CSRF 공격으로 /flag 페이지를 방문하는 이용자가 /change_password 페이지로 요청을 전송하도록 공격 코드를 작성해야 합니다.
<img src="/change_password?pw=admin">
위의 명령어를 flag페이지 입력하면 아래와 같이 나오게된다.
이제 로그인 페이지로 가서 admin, admin으로 로그인하면 플래그가 출력된다.
