소스 코드 분석
db
table 정보와 계정 정보를 알 수 있다. admin 계정의 비밀번호는 난수를 생성하고, 16바이트 길이의 바이너리 데이터로 만든 다음, 이를 16진수 문자열로 변환하고 디코딩한 값이다.
DATABASE = "database.db"
if os.path.exists(DATABASE) == False:
db = sqlite3.connect(DATABASE)
db.execute('create table users(userid char(100), userpassword char(100));')
db.execute(f'insert into users(userid, userpassword) values ("guest", "guest"), ("admin", "{binascii.hexlify(os.urandom(16)).decode("utf8")}");')
db.commit()
db.close()
def get_db():
db = getattr(g, '_database', None)
if db is None:
db = g._database = sqlite3.connect(DATABASE)
db.row_factory = sqlite3.Row
return db
def query_db(query, one=True):
cur = get_db().execute(query)
rv = cur.fetchall()
cur.close()
return (rv[0] if rv else None) if one else rv
/login
userid, userpassword 값을 전달 받아 쿼리 결과를 반환한다. 만약 쿼리 결과가 존재하고, userid가 admin이라면 FLAG를 반환한다.
@app.route('/login', methods=['GET', 'POST'])
def login():
if request.method == 'GET':
return render_template('login.html')
else:
userid = request.form.get('userid')
userpassword = request.form.get('userpassword')
res = query_db(f'select * from users where userid="{userid}" and userpassword="{userpassword}"')
if res:
userid = res[0]
if userid == 'admin':
return f'hello {userid} flag is {FLAG}'
return f'<script>alert("hello {userid}");history.go(-1);</script>'
return '<script>alert("wrong");history.go(-1);</script>'
취약점 분석
/login
query_db 함수에서 SQL Injection이 발생할 수 있다.
익스플로잇
쿼리 조작
userid가 admin이어야 하므로 userid에는 다음과 같은 값을 입력한다. 이후의 쿼리는 주석 처리 되므로 password에는 어떤 값을 입력해도 상관 없다.
admin" --
FLAG 확인
반응형
'Wargame > Web' 카테고리의 다른 글
[Dreamhack] command-injection-1 (0) | 2024.04.29 |
---|---|
[Dreamhack] Mango (0) | 2024.02.24 |
[Dreamhack] csrf-2 (2) | 2024.02.18 |
[Dreamhack] csrf-1 (0) | 2024.02.17 |
[Dreamhack] xss-2 (2) | 2024.02.11 |