[WebHacking] - Dreamhack csrf-1 문제 풀이 (CSRF wargame)

csrf-1 문제에 대해 풀어보겠다.

 

[문제 파악]

처음 접속하면 위 화면이 나온다.

 

서버 생성 후 접속해보겠다.

다음과 같은 사이트에 접속이 되는 것을 확인할 수 있다.

순서대로 사이트에 접속해보면 각각 어떤 역할인지를 대략적으로 파악할 수 있다. 상세한 기능 또한 문제 파일을 받은 후 app.py를 살펴보면 확인이 가능하다.

 

그럼 각 페이지를 살펴보겠다.

vuln(csrf) page

-> <*>alert(1)로 표시된느 것을 볼 수 있다. 대략 여기서 script라는 것이 필터링 된 것을 알 수 있다. (자세한건 소스코드에서)

---

memo

-> memo?memo=hello 에서 hello가 연속적으로 출력되는 것을 확인할 수 있다. 여기다가 flag를 출력하면 용이할 것 같다는 생각을 할 수 있다. (이전 xss-1, xss-2문제와 비슷)

---

notice flag

-> flag와 관련된 페이지인 것 같다. 현재는 접근이 거부되었다.

---

 

flag

-> flag에 직접 입력할 수 있는 부분이 있다. vuln 페이지에서 param를 내가 원하는 값으로 전달 가능하다.

 

사이트에서 찾을 수 있는 것들은 끝났다. flag 페이지에서 특정 html을 입력해서 flag를 얻어내야 할 것 같다.

추가적으로 소스코드도 살펴보겠다.

 

#!/usr/bin/python3

from flask import Flask, request, render_template

from selenium import webdriver

from selenium.webdriver.chrome.service import Service

import urllib

import os

app = Flask(__name__)

app.secret_key = os.urandom(32)

try:

    FLAG = open("./flag.txt", "r").read()

except:

    FLAG = "[**FLAG**]"

def read_url(url, cookie={"name": "name", "value": "value"}):

    cookie.update({"domain": "127.0.0.1"})

    try:

        service = Service(executable_path="/chromedriver")

        options = webdriver.ChromeOptions()

        for _ in [

            "headless",

            "window-size=1920x1080",

            "disable-gpu",

            "no-sandbox",

            "disable-dev-shm-usage",

        ]:

            options.add_argument(_)

        driver = webdriver.Chrome(service=service, options=options)

        driver.implicitly_wait(3)

        driver.set_page_load_timeout(3)

        driver.get("http://127.0.0.1:8000/")

        driver.add_cookie(cookie)

        driver.get(url)

    except Exception as e:

        driver.quit()

        print(str(e))

        # return str(e)

        return False

    driver.quit()

    return True

def check_csrf(param, cookie={"name": "name", "value": "value"}):

    url = f"http://127.0.0.1:8000/vuln?param={urllib.parse.quote(param)}"

    return read_url(url, cookie)

@app.route("/")

def index():

    return render_template("index.html")

@app.route("/vuln")

def vuln():

    param = request.args.get("param", "").lower()

    xss_filter = ["frame", "script", "on"]

    for _ in xss_filter:

        param = param.replace(_, "*")

    return param

@app.route("/flag", methods=["GET", "POST"])

def flag():

    if request.method == "GET":

        return render_template("flag.html")

    elif request.method == "POST":

        param = request.form.get("param", "")

        if not check_csrf(param):

            return '<script>alert("wrong??");history.go(-1);</script>'

        return '<script>alert("good");history.go(-1);</script>'

memo_text = ""

@app.route("/memo")

def memo():

    global memo_text

    text = request.args.get("memo", None)

    if text:

        memo_text += text

    return render_template("memo.html", memo=memo_text)

@app.route("/admin/notice_flag")

def admin_notice_flag():

    global memo_text

    if request.remote_addr != "127.0.0.1":

        return "Access Denied"

    if request.args.get("userid", "") != "admin":

        return "Access Denied 2"

    memo_text += f"[Notice] flag is {FLAG}\n"

    return "Ok"

app.run(host="0.0.0.0", port=8000)

 

/vuln 에서 frame, script, on 에 대해 필터링을 하고 있는 것을 확인할 수 있다.

/admin/notice_flag에서 두가지를 체크하고 있다. 127.0.0.1과 admin인지 아닌지를 체크하며 둘 다 통과 시 Flag를 획득할 수 있다.

 

CSRF (Cross Site Request Forgery) 라는 문제에 맞게 admin 계정에 접속하여 admin의 권한을 탈취하여 flag를 얻어내야 한다.

---

[Write Up]

결국 핵심은 다음과 같다.

• /vuln 에는 scirpt 구문 공격에 대한 필터링이 걸려있다
• /admin/notice_flag에서 체크하는 것은 admin 계정인지 아닌지도 포함되어 있다.
• flag 페이지에서 admin에 대한 계정을 설정해줘야 한다.

정답

<img src="/admin/notice_flag?userid=admin">

img src는 img 파일이지만 일단 접속하면 실행하게 된다. 따라서 그 다음에 오는 것들도 실행하게 된다.

 

http://127.0.0.1:8000/vuln?param=<img src="/admin/notice_flag?userid=admin">

여기서 vuln에 전달하는 param가 img가 되는데 img src 내부에서 /admin/notice_flag 에 접속하게 되며 이 때 userid=admin 으로 설정함으로써 admin 계정의 권한을 얻게 되고 따라서 flag를 얻을 수 있게 된다.

 

이후 memo 사이트에 들어가보면 flag가 정상적으로 출력된 것을 알 수 있다.