[dreamhack] CSRF-2
주어진 페이지를 들어가면 다음과 같은 화면이 나옴
- vuln
- flag
- login
세 가지 창으로 구성되어 있으며 아래에는 로그인하라는 문구를 확인할 수 있음
vuln 페이지를 들어가면 <script> 태그가 잘 작동하는 것을 볼 수 있음
script를 이용한 XSS 공격은 불가함
*URL에 삽입된 스크립트 코드 중 <, >, , alert(1)이 출력되는 것을 알 수 있는데 이는 script 태그는 사용할 수 없지만 꺽쇠를 이용한 태그는 사용 가능하다는 뜻 → HTML을 이용한 CSRF 공격을 해야 함
flag 페이지는 파라미터 값을 작성해서 답을 얻어내는 페이지이므로 넘어감
login 페이지를 들어가니 username, password를 입력하는 란이 있음
주어진 py 파일에서 아이디, 비밀번호를 찾을 수 있을 것 같음
#!/usr/bin/python3
from flask import Flask, request, render_template, make_response, redirect, url_for
from selenium import webdriver
from selenium.webdriver.chrome.service import Service
import urllib
import os
app = Flask(__name__)
app.secret_key = os.urandom(32)
try:
FLAG = open("./flag.txt", "r").read()
except:
FLAG = "[**FLAG**]"
users = {
'guest': 'guest',
'admin': FLAG
}
session_storage = {}
def read_url(url, cookie={"name": "name", "value": "value"}):
cookie.update({"domain": "127.0.0.1"})
try:
service = Service(executable_path="/chromedriver")
options = webdriver.ChromeOptions()
for _ in [
"headless",
"window-size=1920x1080",
"disable-gpu",
"no-sandbox",
"disable-dev-shm-usage",
]:
options.add_argument(_)
driver = webdriver.Chrome(service=service, options=options)
driver.implicitly_wait(3)
driver.set_page_load_timeout(3)
driver.get("http://127.0.0.1:8000/")
driver.add_cookie(cookie)
driver.get(url)
except Exception as e:
driver.quit()
print(str(e))
# return str(e)
return False
driver.quit()
return True
def check_csrf(param, cookie={"name": "name", "value": "value"}):
url = f"http://127.0.0.1:8000/vuln?param={urllib.parse.quote(param)}"
return read_url(url, cookie)
@app.route("/")
def index():
session_id = request.cookies.get('sessionid', None)
try:
username = session_storage[session_id]
except KeyError:
return render_template('index.html', text='please login')
return render_template('index.html', text=f'Hello {username}, {"flag is " + FLAG if username == "admin" else "you are not an admin"}')
@app.route("/vuln")
def vuln():
param = request.args.get("param", "").lower()
xss_filter = ["frame", "script", "on"]
for _ in xss_filter:
param = param.replace(_, "*")
return param
@app.route("/flag", methods=["GET", "POST"])
def flag():
if request.method == "GET":
return render_template("flag.html")
elif request.method == "POST":
param = request.form.get("param", "")
session_id = os.urandom(16).hex()
session_storage[session_id] = 'admin'
if not check_csrf(param, {"name":"sessionid", "value": session_id}):
return '<script>alert("wrong??");history.go(-1);</script>'
return '<script>alert("good");history.go(-1);</script>'
@app.route('/login', methods=['GET', 'POST'])
def login():
if request.method == 'GET':
return render_template('login.html')
elif request.method == 'POST':
username = request.form.get('username')
password = request.form.get('password')
try:
pw = users[username]
except:
return '<script>alert("not found user");history.go(-1);</script>'
if pw == password:
resp = make_response(redirect(url_for('index')) )
session_id = os.urandom(8).hex()
session_storage[session_id] = username
resp.set_cookie('sessionid', session_id)
return resp
return '<script>alert("wrong password");history.go(-1);</script>'
@app.route("/change_password")
def change_password():
pw = request.args.get("pw", "")
session_id = request.cookies.get('sessionid', None)
try:
username = session_storage[session_id]
except KeyError:
return render_template('index.html', text='please login')
users[username] = pw
return 'Done'
app.run(host="0.0.0.0", port=8000)
로그인을 하기 위해 코드 상단에 적혀있는 guest : guest를 사용해 username, password 모두 guest로 입력하여 로그인에 성공함
Hello guest, you are not an admin
이라는 문구가 나옴
확인해야 할 가장 중요한 코드는 주어진 웹에 구현되어있지 않은 /change_password페이지임
**users = {
'guest': 'guest',
'admin': FLAG
}**
전체 코드 상단의 위의 해당 코드는 guest 계정, admin 계정 두 개가 존재한다는 것을 의미함
guest로 로그인 했을 때는 admin이 아니라고 했으니 /change_password 페이지에서 password를 변경해야
127.0.0.1 로컬호스트에서만 동작하기 때문에 csrf 공격을 해야 함
HTML 태그 <img>를 이용하여 코드를 작성
<img src="/change_password?pw=admin">
password를 바꿔주었으니
다시 login 페이지로 들어가서 admin : admin으로 로그인
FLAG를 찾을 수 있긔...