728x90
[Dreamhack] CSRF Advanced
우선 코드를 보자!
#!/usr/bin/python3
from flask import Flask, request, render_template, make_response, redirect, url_for
from selenium.webdriver.common.by import By
from selenium import webdriver
from hashlib import md5
import urllib
import os
app = Flask(__name__)
app.secret_key = os.urandom(32)
try:
FLAG = open("./flag.txt", "r").read()
except:
FLAG = "[**FLAG**]"
users = {
'guest': 'guest',
'admin': FLAG
}
session_storage = {}
token_storage = {}
def read_url(url, cookie={"name": "name", "value": "value"}):
cookie.update({"domain": "127.0.0.1"})
options = webdriver.ChromeOptions()
try:
for _ in [
"headless",
"window-size=1920x1080",
"disable-gpu",
"no-sandbox",
"disable-dev-shm-usage",
]:
options.add_argument(_)
driver = webdriver.Chrome("/chromedriver", options=options)
driver.implicitly_wait(3)
driver.set_page_load_timeout(3)
driver.get("http://127.0.0.1:8000/login")
driver.add_cookie(cookie)
driver.find_element(by=By.NAME, value="username").send_keys("admin")
driver.find_element(by=By.NAME, value="password").send_keys(users["admin"])
driver.find_element(by=By.NAME, value="submit").click()
driver.get(url)
except Exception as e:
driver.quit()
# return str(e)
return False
driver.quit()
return True
def check_csrf(param, cookie={"name": "name", "value": "value"}):
url = f"http://127.0.0.1:8000/vuln?param={urllib.parse.quote(param)}"
return read_url(url, cookie)
@app.route("/")
def index():
session_id = request.cookies.get('sessionid', None)
try:
username = session_storage[session_id]
except KeyError:
return render_template('index.html', text='please login')
return render_template('index.html', text=f'Hello {username}, {"flag is " + FLAG if username == "admin" else "you are not an admin"}')
@app.route("/vuln")
def vuln():
param = request.args.get("param", "").lower()
xss_filter = ["frame", "script", "on"]
for _ in xss_filter:
param = param.replace(_, "*")
return param
@app.route("/flag", methods=["GET", "POST"])
def flag():
if request.method == "GET":
return render_template("flag.html")
elif request.method == "POST":
param = request.form.get("param", "")
if not check_csrf(param):
return '<script>alert("wrong??");history.go(-1);</script>'
return '<script>alert("good");history.go(-1);</script>'
@app.route('/login', methods=['GET', 'POST'])
def login():
if request.method == 'GET':
return render_template('login.html')
elif request.method == 'POST':
username = request.form.get('username')
password = request.form.get('password')
try:
pw = users[username]
except:
return '<script>alert("user not found");history.go(-1);</script>'
if pw == password:
resp = make_response(redirect(url_for('index')) )
session_id = os.urandom(8).hex()
session_storage[session_id] = username
token_storage[session_id] = md5((username + request.remote_addr).encode()).hexdigest()
resp.set_cookie('sessionid', session_id)
return resp
return '<script>alert("wrong password");history.go(-1);</script>'
@app.route("/change_password")
def change_password():
session_id = request.cookies.get('sessionid', None)
try:
username = session_storage[session_id]
csrf_token = token_storage[session_id]
except KeyError:
return render_template('index.html', text='please login')
pw = request.args.get("pw", None)
if pw == None:
return render_template('change_password.html', csrf_token=csrf_token)
else:
if csrf_token != request.args.get("csrftoken", ""):
return '<script>alert("wrong csrf token");history.go(-1);</script>'
users[username] = pw
return '<script>alert("Done");history.go(-1);</script>'
app.run(host="0.0.0.0", port=8000)/login페이지의 session_storage[session_id]=username이다. 우리가 찾아야 할 username은 admin이니 이곳은 admin이고 token_storage를 보자. session_id는 md5로 감싸져 있는데 username과 +request.remote_addr이다. 근데 request.remote_addr가 뭔가 싶어서 알아보니 사용자의 IP주소였다. 그러니까 username이 admin이면 admin+IP주소 합치고 이것을 md5 해시를 구해서 session_id(CSRF토큰)가 생성됨을 알 수 있었다. 즉, 우리가 구할 username은 admin이니 IP주소만 알면 충분히 CSRF토큰을 예측할 수 있다. CSRF토큰을 얻으면 chage_password에서 get요청으로 csrf_token을 가져오고 csrf토큰이 같은지 확인을 한 후 일치한다면 패스워드를 바꿔주는 것까지 알 수 있었다.
users = {
'guest': 'guest',
'admin': FLAG
}우선 users를 확인하여 guest로 로그인해봤다.
guest로 로그인 됐다. 그러나 admin이 아니라고 확인시켜준다.
그럼 change password를 이용하여 패스워드를 변경해보자.
qwer1234를 의도한건데 어쩌다보니 ㅂㅈㄷㄱ1234로 변경했다... 하여튼 패스워드를 변경하면 어떻게 url이 뜨는지 알았다. csrftoken=70~~ 이 값을 보니 이 부분을 admin것으로 바꿔준다면 admin의 패스워드가 변경될 수 있겠다는 것을 알았다. username = admin, IP = 127.0.0.1임을 소스코드에서 알았기에 admin127.0.0.1을 md5로 해시값을 알아봤다.
7505B9C72AB4AA94B1A4ED7B207B67FB임을 알 수 있었다. 패스워드를 변경하려고 하니 XSS취약점을 방지하기 위해서 "frame", "script", "on"을 필터링하는 것을 알 수 있었다. 그럼 img태그를 통해 패스워드를 변경해보자.
<img src=http://127.0.0.1:8000/change_password?pw=admin&csrftoken=7505b9c72ab4aa94b1a4ed7b207b67fb>패스워드를 admin으로 변경했다.
flag값을 획득할 수 있었다.
728x90
'Webhacking-Write-Up > Dreamhack' 카테고리의 다른 글
| [Dreamhack] CSS Injection (0) | 2023.01.10 |
|---|---|
| [Dreamhack] Client Side Template Injection (0) | 2023.01.10 |
| [Dreamhack] CSP Bypass Advanced (0) | 2023.01.10 |
| [Dreamhack] CSP Bypass (0) | 2023.01.10 |
| [Dreamhack] XSS Filtering Bypass Advanced (0) | 2023.01.09 |