문제
풀이
아래는 처음 웹에 접속하면 확인할 수 있는 페이지이다.
여기에서는 정보를 알아낼 수 없기에 내부 소스코드를 확인해보도록 하자.
#!/usr/bin/python3
from flask import Flask, request, render_template, g
import sqlite3
import os
import binascii
app = Flask(__name__)
app.secret_key = os.urandom(32)
try:
FLAG = open('./flag.txt', 'r').read()
except:
FLAG = '[**FLAG**]'
DATABASE = "database.db"
if os.path.exists(DATABASE) == False:
db = sqlite3.connect(DATABASE)
db.execute('create table users(userid char(100), userpassword char(100));')
db.execute(f'insert into users(userid, userpassword) values ("guest", "guest"), ("admin", "{binascii.hexlify(os.urandom(16)).decode("utf8")}");')
db.commit()
db.close()
def get_db():
db = getattr(g, '_database', None)
if db is None:
db = g._database = sqlite3.connect(DATABASE)
db.row_factory = sqlite3.Row
return db
def query_db(query, one=True):
cur = get_db().execute(query)
rv = cur.fetchall()
cur.close()
return (rv[0] if rv else None) if one else rv
@app.teardown_appcontext
def close_connection(exception):
db = getattr(g, '_database', None)
if db is not None:
db.close()
@app.route('/')
def index():
return render_template('index.html')
@app.route('/login', methods=['GET', 'POST'])
def login():
if request.method == 'GET':
return render_template('login.html')
else:
userid = request.form.get('userid')
userpassword = request.form.get('userpassword')
res = query_db(f'select * from users where userid="{userid}" and userpassword="{userpassword}"')
if res:
userid = res[0]
if userid == 'admin':
return f'hello {userid} flag is {FLAG}'
return f'<script>alert("hello {userid}");history.go(-1);</script>'
return '<script>alert("wrong");history.go(-1);</script>'
app.run(host='0.0.0.0', port=8000)
여기서 확인할 수 있는 정보는 아래와 같다.
- database.db 가 존재하며, db 생성문이 포함되어 있다.
- db는 users 테이블이 존재하며, userid, userpassword 2가지 칼럼이 존재하며, char(100)로 저장되어 있다.
- ID=guest, PW=guest 인 Guest 계정과 ID=admin, PW={binascii.hexlify(os.urandom(16)).decode("utf8")} 인 admin 계정을 생성한다.
{binascii.hexlify(os.urandom(16)).decode("utf8")} 설명은 아래와 같다.
os.urandom(16) : 16바이트의 임의의 바이트 코드를 생성한다.
binascii.hexlify() : 생성한 16 바이트 코드를 16진수의 숫자로 변경한다.
decode("utf8") : hexlify 가 반환한 16진수 바이트 코드를 16진수 문자열로 변환한다. - query_db() : 괄호의 쿼리문을 db로 보낸다.
- if 문의 userid = 'admin' 일 경우, flag 값을 도출하는 것을 확인한다.
위의 정보를 확인하면, 이제 우리는 query_db() 구문에 userid를 admin 으로 넣어 flag 값을 추출해야한다.
하지만 PW의 경우 16진수 임의의 문자열 값으로 이루어져 있어 우리는 pw 에 SQLinjection을 진행해야한다.
필자가 선택한 방법은 주석을 넣는 것이다.
쿼리문 : select * from users where userid="{userid}" and userpassword="{userpassword}"
userpassword 를 모르기에 주석이나 다른 방법을 통해 userpassword 의 검증을 넘겨야한다.
select * from users where userid="admin" (-- 이후로 주석) --" and userpassword="{userpassword}"
로 이루어져 userid 가 admin 인지만 확인하고 접속하게되는 로직을 수행해 flag를 얻어낸다.
'Dreamhack > Dreamhack(1단계)' 카테고리의 다른 글
xss-2 (웹 해킹) (0) | 2024.10.11 |
---|---|
image-storage (웹 해킹) (1) | 2024.10.08 |
xss-1 (웹 해킹) (0) | 2024.10.08 |
php-1 (웹 해킹) (1) | 2024.08.28 |
csrf-1 (웹 해킹) (0) | 2024.06.27 |