[Dream Hack - Web] csrf-2

문제 해석

/ 페이지

@app.route("/")
def index():
    session_id = request.cookies.get('sessionid', None)
    try:
        username = session_storage[session_id]
    except KeyError:
        return render_template('index.html', text='please login')
    return render_template('index.html', text=f'Hello {username}, {"flag is " + FLAG if username == "admin" else "you are not an admin"}')

쿠키에서 session id를 확인하고 그 값에 따라 아래와 같이 출력한다. None인경우 → “please login” guest인 경우 → “you are not an admin” admin인 경우 → "flag is " + FLAG

 

 

/login 페이지

users = {
    'guest': 'guest',
    'admin': FLAG
}

@app.route('/login', methods=['GET', 'POST'])
def login():
    if request.method == 'GET':
        return render_template('login.html')
    elif request.method == 'POST':
        username = request.form.get('username')
        password = request.form.get('password')
        try:
            pw = users[username]
        except:
            return '<script>alert("not found user");history.go(-1);</script>'
        if pw == password:
            resp = make_response(redirect(url_for('index')) )
            session_id = os.urandom(8).hex()
            session_storage[session_id] = username
            resp.set_cookie('sessionid', session_id)
            return resp 
        return '<script>alert("wrong password");history.go(-1);</script>'

일반적인 로그인 페이지이다. 로그인에 성공하는 경우, session_id를 쿠키에 저장한다.

 

 

/flag 페이지

@app.route("/flag", methods=["GET", "POST"])
def flag():
    if request.method == "GET":
        return render_template("flag.html")
    elif request.method == "POST":
        param = request.form.get("param", "")
        session_id = os.urandom(16).hex()
        session_storage[session_id] = 'admin'
        if not check_csrf(param, {"name":"sessionid", "value": session_id}):
            return '<script>alert("wrong??");history.go(-1);</script>'
        return '<script>alert("good");history.go(-1);</script>'

GET /flag 인 경우 서버 로컬 호스트 환경에서 /vuln 페이지에 param을 넣어 전달할 수 있도록 입력창이 보인다.

POST /flag인 경우 입력창을 ‘제출’했을 때 동작하는 함수이다. ‘admin’에 해당하는 session_id(램던)값이 만들어져 {session_id, ‘admin’}으로 session_storage에 저장된다. 또, check_csrf 에서 쿠키 값에 session_id를 저장한다.

 

 

/change_password API

@app.route("/change_password")
def change_password():
    pw = request.args.get("pw", "")
    session_id = request.cookies.get('sessionid', None)
    try:
        username = session_storage[session_id]
    except KeyError:
        return render_template('index.html', text='please login')

    users[username] = pw
    return 'Done'

함수가 호출 되면, session_storeage에서 session_id를 통해 username을 확인한다. 파라미터로 받은 pw 값을 사용해서 username에 해당하는 user의 비밀번호를 변경한다.

 

풀이 방법

대략적으로 비밀번호를 변경해서 admin으로 로그인해 FLAG를 확인하면 될 것 같다.

1. POST /flag 요청으로 통해, session_storage에 {session_id, ‘admin’}를 저장한다. 쿠키에 {”session_id”, session_id}를 저장한다.
2. /change_password 호출을 통해, 쿠키에서 session_id 조회한다. 조회한 session_id로 session_storage에서 ‘admin’을 가져와 user[’admin’]에 새로운 pw를 업데이트 한다.

<img src="/change_password?pw=admin"/>

 

 

3. /login 페이지에서 admin 계정으로 로그인한 후, / 페이지에서 FLAG를 확인한다.