해당 문제의 목표는 관리자 계정으로 로그인하는 것이다.
문제 분석
users = {
'guest': 'guest',
'admin': FLAG
}위와 같은 코드가 있기에 id : guest, pw : guest로 로그인 해보니, index 페이지에 Hello guest, you are not an admin 라는 문구가 출력되었다.
- /vuln
- 사용자가 param에 입력한 값을 페이지에 출력해준다.
- /flag
- param에 입력한 url로 이동
- /login
- id와pw를 입력하여 로그인 할 수 있는 기능
- /change_password
- 사용자의 비밀번호를 바꿀수 있는 기능
엔드포인트 분석
/vuln
@app.route("/vuln")
def vuln():
param = request.args.get("param", "").lower()
xss_filter = ["frame", "script", "on"]
for _ in xss_filter:
param = param.replace(_, "*")
return paramframe, script, on 키워드들에 대한 필터링을 수행함. 해당 키워드들을 *로 치환
/flag
@app.route("/flag", methods=["GET", "POST"])
def flag():
if request.method == "GET":
return render_template("flag.html")
elif request.method == "POST":
param = request.form.get("param", "")
session_id = os.urandom(16).hex()
session_storage[session_id] = 'admin'
if not check_csrf(param, {"name":"sessionid", "value": session_id}):
return '<script>alert("wrong??");history.go(-1);</script>'
return '<script>alert("good");history.go(-1);</script>'GET 방식으로 flag.html을 표시
param의 값을 입력받고 param 변수에 저장한다.
session_id에 랜덤한 16진수 값을 저장한다.
session_storage의 session_id 번째 값을 admin으로 저장한다.
만약 check_csrf함수가 false라면 wrong alert. (파라미터는 sessionid, session_id)
/login
@app.route('/login', methods=['GET', 'POST'])
def login():
if request.method == 'GET':
return render_template('login.html')
elif request.method == 'POST':
username = request.form.get('username')
password = request.form.get('password')
try:
pw = users[username]
except:
return '<script>alert("not found user");history.go(-1);</script>'
if pw == password:
resp = make_response(redirect(url_for('index')) )
session_id = os.urandom(8).hex()
session_storage[session_id] = username
resp.set_cookie('sessionid', session_id)
return resp
return '<script>alert("wrong password");history.go(-1);</script>'login.html 표시
username과 password를 입력받아서 각각의 변수에 저장
pw를 password의 값과 비교한다.
만약 같다면, 사용자를 index 페이지로 이동시키고 새로운 session_id를 만들어서 session_storage에 저장함.
/change_password
@app.route("/change_password")
def change_password():
pw = request.args.get("pw", "")
session_id = request.cookies.get('sessionid', None)
try:
username = session_storage[session_id]
except KeyError:
return render_template('index.html', text='please login')
users[username] = pw
return 'Done'새로운 pw를 사용자로부터 입력받음
session_id를 받아옴.
users[username]에 pw값 저장
취약점 분석
/vuln 페이지에서는 frame, script, on 이 세가지 키워드들만 필터링 하기 때문에 다른 태그를 사용하면 csrf 공격 가능함.
그리고 현재 admin 계정을 pw값은 랜덤으로 생성되기 때문에 알 수가 없음. 따라서 change_password를 이용하여 비밀번호르 바꿔줘야함.
그리고 현재 /flag 페이지에 admin의 session_id가 저장되고 있기 떄문에 /flag 페이지에서 admin의 비밀번호를 바꿔줘야한다.
따라서 아래와 같은 페이로드를 flag 페이지에서 전송해주면 된다.
<img src="/change_password?pw=admin"/>
위와 같은 페이로드를 전송하고 id:admin, pw:admin으로 로그인하면 인덱스 페이지에서 flag를 획득할수 있다.
'CTF & Wargame(WEB)' 카테고리의 다른 글
| [dreamhack] level 1 simple_sqli (blind_sqli 활용) (0) | 2025.04.14 |
|---|---|
| [dreamhack] level 1 simple_sqli (0) | 2025.04.13 |
| [dreamhack] level 1 csrf-1 (0) | 2025.04.13 |
| [dreamhack] level 1 xss-2 (0) | 2025.04.12 |
| [dreamhack] level 1 xss-1 (0) | 2025.04.12 |