[ dreamhack ] - [ web | csrf -1 ]

 

 

문제는 이렇다.

csrf 취약점을 이용하여 flag를 얻어내는 것이 문제이다.

 

 

---

 

 

주어진 링크에 접속하면

위 그림처럼 4개의 페이지에 접속할 수 있는

메인 페이지가 뜬다.

 

---

:: vuln(csrf) page ::

vuln(csrf) page에 접속한 화면.

위 사진에서 보면, url에 get으로 보낸 <script>alert(1)</script>  가 

출력되었음을 알 수 있는데,

script 라는 문자열이 필터링되고 있음을 알 수 있다.

 

 

---

:: memo ::

memo 페이지 접속화면.

이때, hello라는 문자가 출력되는데, 

한번 더 다시 접속하면,

memo 페이지 두번째 접속화면.

이렇게 hello가 두번 출력되는 것을 알 수 있다.

 

---

 

:: notice_flag ::

notice_flag&nbsp; 접속 화면.

접속 권한이 없어서 Acees Denied 가 발생중임을 확인가능하다.

notice_flag인 거로 봐서는 이 페이지에 flag가 있지 않을까라고 생각된다.

 

---

:: flag ::

flag 페이지 접속 화면.

이 페이지에 보이는 입력창에 XSS를 일으킬 코드를 입력해야 할 것으로 보인다.

 

---

---

그럼, notice_flag 페이지에서 막혀있었던 해당 페이지에 접속을 성공한다면 

flag를 얻을 수 있다고 가정한다면, 

/admin/notice_flag  위치에 접속을 요청해야 하는데, 

flag페이지를 보면,

http://127.0.0.1:8000/vuln?param=[입력칸]

이라고 되어있어서 vuln페이지로 입력코드를 보내는 것임을 알 수 있다.

이때, 아까 script태그는 필터링 되었으니 다른 태그를 사용하자.

img 태그를 사용해보자!

<img src="/admin/notice_flag">  

이렇게 코드를 입력해보겠다. 

 

---

이렇게 good 이라는 말과 함께 알림창이 뜬다.

 

memo로 들어가서 혹시 flag가 출력되었는지 확인해 보았으나,

hello만 출력되었을 뿐, 아무일 없다.

 

 

이제 헷갈리니 

드림핵에서 준 소스코드를 봐보자.

---

#!/usr/bin/python3
from flask import Flask, request, render_template
from selenium import webdriver
import urllib
import os

app = Flask(__name__)
app.secret_key = os.urandom(32)

try:
    FLAG = open("./flag.txt", "r").read()
except:
    FLAG = "[**FLAG**]"


def read_url(url, cookie={"name": "name", "value": "value"}):
    cookie.update({"domain": "127.0.0.1"})
    try:
        options = webdriver.ChromeOptions()
        for _ in [
            "headless",
            "window-size=1920x1080",
            "disable-gpu",
            "no-sandbox",
            "disable-dev-shm-usage",
        ]:
            options.add_argument(_)
        driver = webdriver.Chrome("/chromedriver", options=options)
        driver.implicitly_wait(3)
        driver.set_page_load_timeout(3)
        driver.get("http://127.0.0.1:8000/")
        driver.add_cookie(cookie)
        driver.get(url)
    except Exception as e:
        driver.quit()
        print(str(e))
        # return str(e)
        return False
    driver.quit()
    return True


def check_csrf(param, cookie={"name": "name", "value": "value"}):
    url = f"http://127.0.0.1:8000/vuln?param={urllib.parse.quote(param)}"
    return read_url(url, cookie)


@app.route("/")
def index():
    return render_template("index.html")


@app.route("/vuln")
def vuln():
    param = request.args.get("param", "").lower()
    xss_filter = ["frame", "script", "on"]
    for _ in xss_filter:
        param = param.replace(_, "*")
    return param


@app.route("/flag", methods=["GET", "POST"])
def flag():
    if request.method == "GET":
        return render_template("flag.html")
    elif request.method == "POST":
        param = request.form.get("param", "")
        if not check_csrf(param):
            return '<script>alert("wrong??");history.go(-1);</script>'

        return '<script>alert("good");history.go(-1);</script>'


memo_text = ""


@app.route("/memo")
def memo():
    global memo_text
    text = request.args.get("memo", None)
    if text:
        memo_text += text
    return render_template("memo.html", memo=memo_text)


@app.route("/admin/notice_flag")
def admin_notice_flag():
    global memo_text
    if request.remote_addr != "127.0.0.1":
        return "Access Denied"
    if request.args.get("userid", "") != "admin":
        return "Access Denied 2"
    memo_text += f"[Notice] flag is {FLAG}\n"
    return "Ok"


app.run(host="0.0.0.0", port=8000)

이렇게 길다...

분석하는데 하루 다 보낸 것 같다. ㅋㅋ...

 

먼저, /admin/notice_flag 

부분부터 분석해보자.

 

---

/admin/notice_flag 

@app.route("/admin/notice_flag")
def admin_notice_flag():
    global memo_text
    if request.remote_addr != "127.0.0.1": # 127.0.0.1이어야 함.
        return "Access Denied"
    if request.args.get("userid", "") != "admin": # userid 도 admin이어야 함.
        return "Access Denied 2"
    memo_text += f"[Notice] flag is {FLAG}\n"
    return "Ok"

Flag를 얻으려면 2개의 if문을 거치지 않고 통과해야 하는데, 

실은, 자세히 보면, 이 /admin/notice_flag 페이지에서 flag를 직접 주는 것은 아니고,

memo_text 라는 변수에 flag값을 저장해주는 역할을 한다.

 

즉, 2개의 if문의 조건문에 충족하지 않도록 

127.0.0.1을 사용하며 , userid=admin 이어야 하는 것이다.

 

또한, memo_text 라는 변수에 flag를 저장하는 과정까지 해냈다면, 

memo_text 는 어느 코드에서 출력해주는지도 확인을 해야 된다.

 

이제, 그럼 memo_text 는 어디에서 출력시켜주는지 확인해보자.

 

---

/memo

@app.route("/memo")
def memo():
    global memo_text
    text = request.args.get("memo", None)
    if text:
        memo_text += text
    return render_template("memo.html", memo=memo_text)
    # 출력되는 파일은 memo 이고, memo는 memo_text에 들어있는 내용이 저장된 후 출력됨.

memo  페이지의 코드이다.

memo_text 는 전역변수임을 알 수 있고, 

솔직히 flask 와 파이썬 코드를 자세히 알지는 못해서 

어떤 코드인지 완벽히 설명하긴 힘들지만,

마지막 줄에서 memo_text를 memo에 저장하고 return 하는 것으로 보아, 

memo 페이지에서 flag값이 출력되는 것으로 보인다.

 

---

/flag

@app.route("/flag", methods=["GET", "POST"])
def flag():
    if request.method == "GET":
        return render_template("flag.html")
    elif request.method == "POST":
        param = request.form.get("param", "")
        if not check_csrf(param):  # check_csrf 함수 호출.
            return '<script>alert("wrong??");history.go(-1);</script>'
            # check_csrf가 False 인 경우.

        return '<script>alert("good");history.go(-1);</script>' 
        # check_csrf가 True 인 경우.

이번엔 flag 페이지이다.

request 방식이 GET 인 경우와 POST 인 경우를 나누어 코드를 실행하는데, 

GET 인 경우는 그냥 다시 flag페이지로 리다이렉션 되도록되어 있으니 의미가 없다.

POST 인 경우가 우리가 확인할 코드인데,

(사실 우리는 URL 말고 빈 입력창에 입력했으니 당연히 POST인 경우의 코드를 확인해야 한다.)

내가 입력한 값을 param 이라는 변수로 받고 있고,

   두개가 들어가게 만들었는데, 하나는 우리가 입력한 값, 하나는 빈문자열이다.

그 후 , check_csrf()함수에 인자로 param 을 넣어서 호출하고 있다.

그리고, 만약 check_csrf()함수가 거짓이면 wrong 을, 참이면 good을 출력하도록되어있음을 확인했다.

 

그럼 먼저, check_csrf() 함수가 무엇인지 확인해보자!

---

check_csrf() 함수

def check_csrf(param, cookie={"name": "name", "value": "value"}): 
    url = f"http://127.0.0.1:8000/vuln?param={urllib.parse.quote(param)}"
    return read_url(url, cookie) # read_url 함수 호출.

check_csrf() 함수가 어떤 함수인지 확인해보자.

먼저, param에 저장되있던 우리가 입력한 값은 

url 이라는 변수에 위처럼 url형식으로 변환되어 저장되고,

param에 저장되었던 빈문자열은 name 과 value 라는 특성이 저장되었다.

그 후 read_url() 이라는 함수에 각각 인자로 넘어가는데, 

이때, 또 read_url() 이라는 함수를 호출하기 때문에 

이번엔  read_url() 이라는 함수도 확인을 해봐야겠다.

---

read_url() 함수

def read_url(url, cookie={"name": "name", "value": "value"}):
    cookie.update({"domain": "127.0.0.1"})
    try:
        options = webdriver.ChromeOptions()
        for _ in [
            "headless",
            "window-size=1920x1080",
            "disable-gpu",
            "no-sandbox",
            "disable-dev-shm-usage",
        ]:
            options.add_argument(_)
        driver = webdriver.Chrome("/chromedriver", options=options)
        driver.implicitly_wait(3)
        driver.set_page_load_timeout(3)
        driver.get("http://127.0.0.1:8000/")
        driver.add_cookie(cookie)
        driver.get(url)
    except Exception as e:
        driver.quit()
        print(str(e))
        # return str(e)
        return False
    driver.quit()
    return True

read_url() 함수가 무엇인지 확인해보자.

 

먼저, 아까 check_csrf()함수에서 인자로 보낸 값 중 하나인 cookie의 속성에

domain:127.0.0.1     이라는 것을 추가해주는 코드가 보인다.

그리고 이 속성은 아까 /admin/notice_flag에서 확인한 조건중 하나이다.

 

그 후, 뭔가 복잡한 코드가 보이는데, 정말 머리가 하얘지는 코드이다.ㅋ..

try 문이 있고, 그 안에 for 문이 있는데,

            "headless",
            "window-size=1920x1080",
            "disable-gpu",
            "no-sandbox",
            "disable-dev-shm-usage"

 

이 5개의 값에 대해서 for문을 모두 수행하는 것으로 보인다.

 

근데, 아까 flag 페이지 에서

<img src="/admin/notice_flag">

를 입력했을 때, good 이 떴었으니까, 

위의 read_url() 함수에서는 try문, for문이 차례로 실행되고, except문은 넘어가고

True 가 return 되었음을 알 수 있다.

 

---

이제 우리가 확인할 것은 빠진 것이 무엇인지 이다.

아까 /admin/notice_flag 페이지에서 

얻은 조건은 127.0.0.1 과 userid=admin  이었는데,

위의 코드들을 확인하면서 127.0.0.1 에 대한 코드는 존재하였으나,

userid=admin 으로 설정한 코드는 없었다.

즉, userid=admin 이라는 값도 입력해주어야 한다는 것으로 생각되어진다.

따라서 

<img src="/admin/notice_flag?userid=admin">

이라고 flag페이지에 입력하여 보겠다.

---

---

---

flag 페이지의 입력칸에 XSS 입력.

 

---

memo 페이지

memo 페이지에 FLAG 값이 출력되었음을 알 수 있다.

 

성공!!!