[ dreamhack ] - [ web | login-1 ]

https://dreamhack.io/wargame/challenges/47/

login-1

#!/usr/bin/python3
from flask import Flask, request, render_template, make_response, redirect, url_for, session, g
import sqlite3
import hashlib
import os
import time, random

app = Flask(__name__)
app.secret_key = os.urandom(32)

DATABASE = "database.db"

userLevel = {
    0 : 'guest',
    1 : 'admin'
}
MAXRESETCOUNT = 5

try:
    FLAG = open('./flag.txt', 'r').read()
except:
    FLAG = '[**FLAG**]'

def makeBackupcode():
    return random.randrange(100)

def get_db():
    db = getattr(g, '_database', None)
    if db is None:
        db = g._database = sqlite3.connect(DATABASE)
    db.row_factory = sqlite3.Row
    return db

@app.teardown_appcontext
def close_connection(exception):
    db = getattr(g, '_database', None)
    if db is not None:
        db.close()



@app.route('/')
def index():
    return render_template('index.html')

@app.route('/login', methods=['GET', 'POST'])
def login():
    if request.method == 'GET':
        return render_template('login.html')
    else:
        userid = request.form.get("userid")
        password = request.form.get("password")

        conn = get_db()
            # mysql connection 연결.
        cur = conn.cursor()
            # connection 으로 부터 Dictionary cursor 생성.
        user = cur.execute( 'SELECT * FROM user WHERE id = ? and pw = ?', ( userid, hashlib.sha256( password.encode() ).hexdigest() ) ).fetchone()
            #  excute : sql문 실행.(인자는 userid / password(sha256으로 암호화된.))

        if user:
            session['idx'] = user['idx']
            session['userid'] = user['id']
            session['name'] = user['name']
            session['level'] = userLevel[ user['level'] ]
            return redirect(url_for('index'))

        return "<script>alert('Wrong id/pw');history.back(-1);</script>";

@app.route('/logout')
def logout():
    session.clear()
    return redirect(url_for('index'))

@app.route('/register', methods=['GET', 'POST'])
def register():
    if request.method == 'GET':
        return render_template('register.html')
    else:
        userid = request.form.get("userid")
        password = request.form.get("password")
        name = request.form.get("name")

        conn = get_db()
        cur = conn.cursor()
        user = cur.execute('SELECT * FROM user WHERE id = ?', (userid,)).fetchone()
        if user:
            return "<script>alert('Already Exists userid.');history.back(-1);</script>";

        backupCode = makeBackupcode()
        sql = "INSERT INTO user(id, pw, name, level, backupCode) VALUES (?, ?, ?, ?, ?)"
        cur.execute(sql, (userid, hashlib.sha256(password.encode()).hexdigest(), name, 0, backupCode))
        conn.commit()
        return render_template("index.html", msg=f"<b>Register Success.</b><br/>Your BackupCode : {backupCode}")
ㅠ
@app.route('/forgot_password', methods=['GET', 'POST'])
def forgot_password():
    if request.method == 'GET':
        return render_template('forgot.html')
    else:
        userid = request.form.get("userid")
        newpassword = request.form.get("newpassword")
        backupCode = request.form.get("backupCode", type=int)

        conn = get_db()
        cur = conn.cursor()
        user = cur.execute('SELECT * FROM user WHERE id = ?', (userid,) ).fetchone()
        if user:
            # security for brute force Attack.
            time.sleep(1)

            if user['resetCount'] == MAXRESETCOUNT:
                return "<script>alert('reset Count Exceed.');history.back(-1);</script>"
            
            if user['backupCode'] == backupCode:
                newbackupCode = makeBackupcode()
                updateSQL = "UPDATE user set pw = ?, backupCode = ?, resetCount = 0 where idx = ?"
                cur.execute(updateSQL, (hashlib.sha256(newpassword.encode()).hexdigest(), newbackupCode, str(user['idx'])))
                msg = f"<b>Password Change Success.</b><br/>New BackupCode : {newbackupCode}"

            else:
                updateSQL = "UPDATE user set resetCount = resetCount+1 where idx = ?"
                cur.execute(updateSQL, (str(user['idx'])))
                msg = f"Wrong BackupCode !<br/><b>Left Count : </b> {(MAXRESETCOUNT-1)-user['resetCount']}"
            
            conn.commit()
            return render_template("index.html", msg=msg)

        return "<script>alert('User Not Found.');history.back(-1);</script>";


@app.route('/user/<int:useridx>')
def users(useridx):
    conn = get_db()
    cur = conn.cursor()
    user = cur.execute('SELECT * FROM user WHERE idx = ?;', [str(useridx)]).fetchone()
    if user:
        return render_template('user.html', user=user)

    return "<script>alert('User Not Found.');history.back(-1);</script>";


@app.route('/admin')
def admin():
    if session and (session['level'] == userLevel[1]):
        # session변수에 값이 존재 and (session['level'] == userLevel[1]) 인 경우에 FLAG 반환.
        return FLAG

    return "Only Admin !"


app.run(host='0.0.0.0', port=8000)

 

 

 

 

• /login
  • GET method 이면 
    • 다시 login.html 로 리다이렉팅.
  • POST method 이면 
    • 변수  userid , password 에 각각 사용자의 입력을 저장.
    • SQL 문 'SELECT * FROM user WHERE id = ? and pw = ?'의 인자 ? 에 각각 userid 와 password의 암호화 값을 넣어서 실행하여 출력값을 변수 user 에 저장.
    • user 값이 존재한다면 
      • session['idx'] = user['idx']             
      • session['userid'] = user['id']             
      • session['name'] = user['name']             
      • session['level'] = userLevel[ user['level'] ]
      • 그 후 index  url로 리다이렉팅.
    • user 값이 존재하지 않다면
      • "Wrong id/pw"라는 말과 함께 경고창을 출력하고 이전페이지로 리다이렉팅.

 

• /logout
  • session을 비우고 index url 로 리다이렉팅.

 

• /register
  
  • GET method 이면
    • 다시 redirect
  • POST method 이면
    • 변수 userid, password, name 에 각각 사용자의 입력값들을 저장.
    • user 변수에 SQL문 "SELCET * FROM  user WHERE id = ?"의  인자값 ? 에 userid 변수의 값을 넣어서 실행한 값을 저장.
    • user 변수에 값이 있다면 (중복된 userid 인 경우)
      • "Already exists userid."라는 메시지와 함께 경고창을 출력하고 이전 페이지로 리다이렉팅 시킴.
    • user 변수에 값이 없다면 (중복된 userid 가 아닌 경우)
      • backupCode 에 makebackupCode() 함수를 통해 새로운 랜덤 백업코드를 저장.
      • sql 이라는 변수에 "INSERT INTO user(id, pw, name, level, backupCode) Values( ?, ?, ?, ?, ?)" 라는 문자열 저장.
      • sql 변수에 담긴 SQL문을 실행하는데, 각 인자 ? 에 차례대로 [userid , 암호화한 password , name, 0 , backupCode] 값들을 넣어서 실행.
      • "Register Success .  Your backupCode : {backupCode}"라는 문자열과 함께 경고창을 출력하고 backupCode도 같이 출력.

 

• /forgot_password
  • method 가 get 이면
    • 다시 redirect
  • method 가 post이면 
    • 사용자의 입력값 3개(userid , newpassword , backupCode)를 받음.
    • db의 user 테이블의 id 속성 중 입력값 userid의 값과 같은 것이 존재하면
      • time.sleep(1)  
      • user['resetCount'] == MAXRESETCOUNT 가 True 이면 
        • reset Count Exceed 라는 말이 담긴 경고창을 띄우고 이전 페이지로 리다이렉팅.
      • user['backupCode'] == backupCode 가 True 이면
        • newbackupCode 에 makeBackupcode() 함수를 통해 새로운 랜덤문자들을 저장.
        • updateSQL 이라는 변수에 "UPDATE user set pw = ?, backupCode = ?, resetCount = 0 where idx = ? " 이라는 문자열 저장.
        • updateSQL에 담긴 문자열을 실행하는데, 첫번째 ? 에는 사용자가 입력한 newpassword  를 넣어서 실행하고,
        • 두번째 ? 에는 newbackupCode에 담긴 문자를 넣어서 실행하고, 
        • 세번째 ? 에는 str(user['idx'])를 넣어서 실행한다.
        • msg 라는 변수에 "Password change success , New backupCode : {newbackupCode}"를 저장.
      • user['backupCode'] == backupCode 가 False 이면
        • updateSQL 이라는 변수에 "Update user set resetCount = resetCount + 1 where idx = ? " 저장.
        • updateSQL  변수에 담긴 문자열을 실행하는데, 첫번째 인자 ? 에 str(usr['idx']) 를 넣어서 실행.
        • msg 라는 변수에 " Wrong backupCode ! Left Count : {MAXRESETCOUNT - 1 } - user['resetcount'] " 저장.
      • msg 변수에 담긴 코드를 출력.
    • db의 user 테이블의 id 속성 중 입력값 userid의 값과 같은 것이 존재하지 않으면
      • "User Not Found 라는 말과 함께 경고창을 띄우고 이전 페이지로 이동시킴."

 

 

 

 

• /user/<int:useridx>
  • 사용자가 입력한 useridx에 대해 db의 user 테이블의 idx 속성에 해당 입력값이 존재하면
    • 해당 user에 대한 user.html을 리턴
  • 입력에 해당하는 user가 존재하지 않으면
    • "User not found"라는 말이 담긴 경고창을 띄움.
• /admin
  • session and (session['level'] == userLevel[1]): 인 조건이 참인 경우(userLevel[1]은 admin 이다.)
    • FLAG리턴.
  • session and (session['level'] == userLevel[1]): 인 조건이 거짓인 경우
    • " Only admin! " 출력.

 

 

 

---

 

이 문제의 특징을 얘기해보자면,

 

- /admin 페이지에 접근하려면 level = userLevel[1] 이어야 한다.

 

- userLevel 은 1 과 0 이 있는 것으로 보이는데, 1 은 admin 이고 0 은 일반사용자로 보인다.

   왜냐면 내가 /register 을 통해 계정을 생성하고 로그인 하면, userLevel 이 0 이기 때문이다.

 

- /user/숫자    를 get 메소드로 보내면 해당 숫자의 useridx 를 가진 user의 [UserID , UserName, UserLevel]을 출력해준다.

/user/1

이를 통해 UserLevel이 0인 계정과 1인 계정을 알아낼 수 있다.

 

- /forgot_password 페이지에는 [userid , newPassword , backupCode]를 입력할 수 있는데, 

이때, Submit 버튼을 통해 리퀘스트를 보내고 1초 동안 time.sleep(1) 구간 이 존재한다.

/forgot_password

 

Left Count : 4&nbsp; &nbsp;--> 4번의 비밀번호 변경 기회가 남아있음을 알 수 있다.

 

- 코드를 살펴보면 , backupCode는 makebackupCode() 함수를 통해 생성하는데, 

random.randrange(100)  --> 1~100 까지의 숫자중 한개를 발급하는 것을 알 수 있다.

 

 

 

---

따라서 이제 우리는 /user/{숫자} 

페이지에서 UserLevel 이 1 인 계정을 찾아낸 후, 

 

/forgot_password 페이지에서 

userid , newPassword , backupCode 를 입력할 때, 

해당 계정의 backupCode만 알아내서 

내 마음대로 newPassword 를 설정하여 비밀번호를 바꿔버린 다음에, 

 

이 계정으로 /login 에서 로그인하여 FLAG 를 얻어내면 되는데, !! 

 

backupCode 는 1~100 까지의 숫자 라서  한번에 알아내기 쉽지않다 . 

5번의 /forgot_password 페이지의 보안조치가 없었다면 

1부터 100까지 대입해보면 되는데 

그렇지 않기 때문에 모두 직접 대입해보는 것은 불가능하다.

 

 

따라서 우리는 /forgot_password 페이지에서 리퀘스트를 보냈을 때, 

1초 동안 멈췄다가 진행되는 부분 사이 동안에 

backupCode 에 1~100을 모두 보내서 

backupCode 가 무엇인지는 몰라도 password 를 바꾸는데 성공 시킨 후,

바꾼 password 를 통해 로그인하여 FLAG 를 얻어낼 것이다.

 

 

 

 

따로 코드를 만들어서 해결해야할 것 같다.

잘 모르겠다. ..