session-basic
쿠키와 세션으로 인증 상태를 관리하는 간단한 로그인 서비스입니다
admin 계정으로 로그인에 성공하면 플래그를 획득할 수 있습니다
# 접속
특별한 점은 보이지 않는다 소스코드를 보자
# 코드 확인
#!/usr/bin/python3
from flask import Flask, request, render_template, make_response, redirect, url_for
app = Flask(__name__)
try:
FLAG = open('./flag.txt', 'r').read()
except:
FLAG = '[**FLAG**]'
users = {
'guest': 'guest',
'user': 'user1234',
'admin': FLAG
}
session_storage = {
}
@app.route('/')
def index():
session_id = request.cookies.get('sessionid', None)
try:
username = session_storage[session_id]
except KeyError:
return render_template('index.html')
return render_template('index.html', text=f'Hello {username}, {"flag is " + FLAG if username == "admin" else "you are not admin"}')
@app.route('/login', methods=['GET', 'POST'])
def login():
if request.method == 'GET':
return render_template('login.html')
elif request.method == 'POST':
username = request.form.get('username')
password = request.form.get('password')
try:
pw = users[username]
except:
return '<script>alert("not found user");history.go(-1);</script>'
if pw == password:
resp = make_response(redirect(url_for('index')) )
session_id = os.urandom(32).hex()
session_storage[session_id] = username
resp.set_cookie('sessionid', session_id)
return resp
return '<script>alert("wrong password");history.go(-1);</script>'
@app.route('/admin')
def admin():
return session_storage
if __name__ == '__main__':
import os
session_storage[os.urandom(32).hex()] = 'admin'
print(session_storage)
app.run(host='0.0.0.0', port=8000)파일로 주어진 소스코드를 보니 guest, user, admin 총 3개의 계정이 있는 것을 확인할 수 있다
또한 입력한 패스워드를 검사하여 저장된 계정이 있을 때 해당 계정에 대해 session_id를 생성하여
session_id를 index로하는 session_storage 배열에 username을 추가하고 있는 모습이 보인다
# Exploit
우선 user로 로그인을 해보았다
application에서 확인해보니 sessionid와 username이 들어간 것을 확인할 수 있다
@app.route('/admin')
def admin():
return session_storageadmin의 sessionid를 어디서 구해야할지 고민하면서 소스코드를 다시 보았는데
다음과 같은 코드가 있어 URL창에 /login 부분을 /admin으로 변경해보았다
session_storage에 저장된 값들이 보인다
admin에 해당되는 코드를 복사하여 sessionid에 대입하면 문제를 해결할 수 있을 것 같다
sessionid를 복사해서 붙여넣고 username 은 admin으로 변경했다
다음과 같이 플래그를 획득할 수 있었다 :)
'War Game & CTF > Dreamhack' 카테고리의 다른 글
| [Dreamhack] xss-2 (0) | 2022.02.12 |
|---|---|
| [Dreamhack] xss-1 (0) | 2022.02.11 |
| [Dreamhack] funjs (0) | 2022.01.31 |
| [Dreamhack] cookie (0) | 2022.01.24 |
| [Dreamhack] Carve Party (0) | 2022.01.23 |
