문제를 통해서 SQL INJECTION 취약점이라는 정보를 얻을 수 있었다.
문제 페이지에 접속하니 아래와 같은 페이지를 볼 수 있었다.
페이지 위의 카테고리를 통해 다양한 정보를 얻고자 하였으나 로그인 기능만 활성화되어 있는 것을 볼 수 있었다.
우선 로그인 창에 아이디와 비밀번호를 모두 'guest'로 하여 로그인을 시도해보았더니
로그인이 잘 되는 것을 볼 수 있었다.
다음은 아이디와 비밀번호를 모두 admin으로 설정해서 로그인을 시도해보았더니
이번에는 로그인 성공을 하지 못하고 'wrong'이라는 문구와 함께 알림창이 뜬 것을 볼 수 있었다.
문제에서 제공해준 소스코드를 참고하여 해결해보자.
#!/usr/bin/python3
from flask import Flask, request, render_template, g
import sqlite3
import os
import binascii
app = Flask(__name__)
app.secret_key = os.urandom(32)
try:
FLAG = open('./flag.txt', 'r').read()
except:
FLAG = '[**FLAG**]'
DATABASE = "database.db"
if os.path.exists(DATABASE) == False:
db = sqlite3.connect(DATABASE)
db.execute('create table users(userid char(100), userpassword char(100));')
db.execute(f'insert into users(userid, userpassword) values ("guest", "guest"), ("admin", "{binascii.hexlify(os.urandom(16)).decode("utf8")}");')
db.commit()
db.close()
def get_db():
db = getattr(g, '_database', None)
if db is None:
db = g._database = sqlite3.connect(DATABASE)
db.row_factory = sqlite3.Row
return db
def query_db(query, one=True):
cur = get_db().execute(query)
rv = cur.fetchall()
cur.close()
return (rv[0] if rv else None) if one else rv
@app.teardown_appcontext
def close_connection(exception):
db = getattr(g, '_database', None)
if db is not None:
db.close()
@app.route('/')
def index():
return render_template('index.html')
@app.route('/login', methods=['GET', 'POST'])
def login():
if request.method == 'GET':
return render_template('login.html')
else:
userid = request.form.get('userid')
userpassword = request.form.get('userpassword')
res = query_db(f'select * from users where userid="{userid}" and userpassword="{userpassword}"')
if res:
userid = res[0]
if userid == 'admin':
return f'hello {userid} flag is {FLAG}'
return f'<script>alert("hello {userid}");history.go(-1);</script>'
return '<script>alert("wrong");history.go(-1);</script>'
app.run(host='0.0.0.0', port=8000)
코드 중 데이터베이스 부분을 보면 guest 계정은 비밀번호가 제시되어 있지만, admin 계정은 비밀번호가 숨겨져 있는 것을 볼 수 있었다.
DATABASE = "database.db"
if os.path.exists(DATABASE) == False:
db = sqlite3.connect(DATABASE)
db.execute('create table users(userid char(100), userpassword char(100));')
db.execute(f'insert into users(userid, userpassword) values ("guest", "guest"), ("admin", "{binascii.hexlify(os.urandom(16)).decode("utf8")}");')
db.commit()
db.close()
이외에도 코드에서 로그인을 시도할 때 SQL 쿼리가 삽입되는 곳을 발견했고, login 페이지에 POST 요청으로 쏘면 사용자가 입력한 계정과 비밀번호를 이용하여 데이터베이스 쿼리에 담아가는 것을 확인할 수 있었다.
res = query_db(f'select * from users where userid="{userid}" and userpassword="{userpassword}"')
여기서 우리는 admin 계정의 비밀번호를 모르기 때문에 SQL 쿼리를 활용하여 계정 입력 값으로 패스워드 검증 부분을 무력화 시켜야한다.
무력화시키기 위한 방법으로는 패스워드 검증 부분을 주석처리 시켜주면 해결할 수 있을 것 같다. 문제 사이트에서 이를 시도해보자.
우선 처음 주석으로는 '#'을 넣어보았는데
오류 문구와 함께 실패하는 것을 볼 수 있었다.
다음 주석으로는 '--'을 넣어서 시도해보았더니
아래 이미지와 같이 플래그 값이 출력된 것을 볼 수 있었다. 문제 풀이 완료!
'CTF' 카테고리의 다른 글
| [LOS] cobolt write-up (0) | 2023.11.01 |
|---|---|
| [LOS] gremlin write-up (1) | 2023.11.01 |
| [RootMe] File upload - Double extensions write-up (0) | 2023.10.02 |
| [RootMe] Install files (0) | 2023.10.01 |
| [Webhacking.kr] old-28 write-up (0) | 2023.10.01 |
