[Dreamhack] 드림핵 웹해킹 : proxy-1

🔒 CTF (Dreamhack)/Web Hacking (웹해킹)

[Dreamhack] 드림핵 웹해킹 : proxy-1

선달 2023. 10. 16. 16:16

https://dreamhack.io/wargame/challenges/13

proxy-1

Raw Socket Sender가 구현된 서비스입니다. 요구하는 조건을 맞춰 플래그를 획득하세요. 플래그는 flag.txt, FLAG 변수에 있습니다. Reference Introduction of Webhacking

dreamhack.io

문제 설명

Raw Socket Sender가 구현된 서비스입니다.
요구하는 조건을 맞춰 플래그를 획득하세요. 플래그는 flag.txt, FLAG 변수에 있습니다.

#!/usr/bin/python3
from flask import Flask, request, render_template, make_response, redirect, url_for
import socket

app = Flask(__name__)

try:
    FLAG = open('./flag.txt', 'r').read()
except:
    FLAG = '[**FLAG**]'

@app.route('/')
def index():
    return render_template('index.html')

@app.route('/socket', methods=['GET', 'POST'])
def login():
    if request.method == 'GET':
        return render_template('socket.html')
    elif request.method == 'POST':
        host = request.form.get('host')
        port = request.form.get('port', type=int)
        data = request.form.get('data')

        retData = ""
        try:
            with socket.socket(socket.AF_INET, socket.SOCK_STREAM) as s:
                s.settimeout(3)
                s.connect((host, port))
                s.sendall(data.encode())
                while True:
                    tmpData = s.recv(1024)
                    retData += tmpData.decode()
                    if not tmpData: break
            
        except Exception as e:
            return render_template('socket_result.html', data=e)
        
        return render_template('socket_result.html', data=retData)


@app.route('/admin', methods=['POST'])
def admin():
    if request.remote_addr != '127.0.0.1':
        return 'Only localhost'

    if request.headers.get('User-Agent') != 'Admin Browser':
        return 'Only Admin Browser'

    if request.headers.get('DreamhackUser') != 'admin':
        return 'Only Admin'

    if request.cookies.get('admin') != 'true':
        return 'Admin Cookie'

    if request.form.get('userid') != 'admin':
        return 'Admin id'

    return FLAG

app.run(host='0.0.0.0', port=8000)

풀이

뭔지 모르겠다!

GPT의 도움을 받아 본 폼에서 data부분에 HTTP메세지를 입력하면 된다는 걸 알게 되었다

/socket 경로는 POST 요청을 통해 호스트 및 포트를 지정하고 데이터를 보낼 수 있는 기능을 제공합니다. 단순히 어떤 데이터를 보내는 것은 사용 사례 및 해당 서버에서 지원하는 프로토콜 및 서비스에 따라 다를 수 있습니다. 일반적으로 다음과 같은 순서로 작동합니다:

1. **Host**: 원격 호스트의 IP 주소나 도메인 이름을 입력합니다.
2. **Port**: 호스트에 연결할 포트 번호를 입력합니다. 예를 들어, 웹 서버의 경우 80 (HTTP) 또는 443 (HTTPS) 포트가 일반적입니다. 다른 서비스의 경우 해당 포트 번호를 확인해야 합니다.
3. **Data**: 보내려는 데이터를 입력합니다. 데이터 형식 및 내용은 서비스에 따라 다를 수 있으며, 데이터를 문자열로 입력해야 합니다.

예를 들어, HTTP GET 요청을 수행하려면 다음과 같이 할 수 있습니다:
- Host: 웹 서버의 IP 주소 또는 도메인 이름
- Port: 80 (HTTP) 또는 443 (HTTPS)
- Data: HTTP GET 요청 메시지 (예: "GET / HTTP/1.1\r\nHost: example.com\r\n\r\n")

이 코드는 입력된 호스트와 포트로 소켓 연결을 시도하고, 입력된 데이터를 해당 소켓을 통해 보내고, 그에 대한 응답을 받아서 반환합니다. 따라서 데이터는 서버에게 어떤 작업을 수행하도록 지시하기 위한 데이터여야 합니다. 서버가 어떤 종류의 요청을 예상하는지에 따라 데이터를 작성해야 합니다.

그렇다면 문제에 있는 조건에 맞게 데이터를 작성해보자

@app.route('/admin', methods=['POST'])
def admin():
    if request.remote_addr != '127.0.0.1':
        return 'Only localhost'

    if request.headers.get('User-Agent') != 'Admin Browser':
        return 'Only Admin Browser'

    if request.headers.get('DreamhackUser') != 'admin':
        return 'Only Admin'

    if request.cookies.get('admin') != 'true':
        return 'Admin Cookie'

    if request.form.get('userid') != 'admin':
        return 'Admin id'

    return FLAG
 
 app.run(host='0.0.0.0', port=8000)

host는 127.0.0.1 이고 port는 8000이다

data값도 조건에 맞게 작성했다

POST /admin HTTP/1.1
User-Agent:Admin Browser
DreamhackUser:admin
Cookie:admin=true

userid=admin

Admin id 라는 에러가 생겼다 userid=admin 라는 데이터를 제대로 보내지 못하고 있다

    if request.form.get('userid') != 'admin':
        return 'Admin id'

request.form.get()을 이해하려면 문제코드에 있는 비슷한 코드를 보면 된다

@app.route('/socket', methods=['GET', 'POST'])
def login():
    if request.method == 'GET':
        return render_template('socket.html')
    elif request.method == 'POST':
        host = request.form.get('host')
        port = request.form.get('port', type=int)
        data = request.form.get('data')

/socket post에서 form.get이 작동하고 있으므로 post /socket 통신을 잠시 살펴보자

host,port,data가 request.form 형태로 잘 들어가 있는데, 이 경우 헤더에 Content-Type과 Content-Length가 포함되어 있다

application/x-www-form-urlencoded: 이 형식은 HTML 폼에서 사용되는 것과 유사한 방식으로 데이터를 인코딩합니다. 주로 웹 애플리케이션에서 폼 데이터를 서버로 전송할 때 사용됩니다.

application/json: 이 형식은 JSON(JavaScript Object Notation) 형식으로 데이터를 전송할 때 사용됩니다. JSON은 데이터를 구조화하고 표현하는 데 매우 일반적으로 사용됩니다.

application/xml: 이 형식은 XML(Extensible Markup Language) 형식으로 데이터를 전송할 때 사용됩니다. XML은 구조화된 데이터를 저장하고 교환하는 데 사용됩니다.

text/plain: 이 형식은 텍스트 데이터를 전송할 때 사용됩니다. 특별한 구조화 없이 일반 텍스트를 전달하는 데 사용됩니다.

multipart/form-data: 이 형식은 파일 업로드와 같은 경우에 사용됩니다. 폼 데이터 및 파일을 함께 전송할 때 사용됩니다.

그렇다면 데이터에 넣을 post /admin 통신에서도 request.form.get('userid') 가 admin이 될 수 있도록 Content-Type을 application/x-www-form-urlencoded로 정하고 동시에 Content-Length도 정해주자 (userid=admin 이므로 12글자로 뒀다)

POST /admin HTTP/1.1
User-Agent:Admin Browser
DreamhackUser:admin
Cookie:admin=true
Content-Type: application/x-www-form-urlencoded
Content-Length: 12

userid=admin

'🔒 CTF (Dreamhack) > Web Hacking (웹해킹)' 카테고리의 다른 글

[Dreamhack] 드림핵 웹해킹 : Flying Chars (2)	2023.11.03
[DreamHack] 드림핵 웹해킹 php-1 (1)	2023.11.02
[DreamHack] 드림핵 웹해킹 : session (0)	2023.09.11
[DreamHack] 드림핵 웹해킹 : pathtraversal (0)	2023.08.14
[DreamHack] 드림핵 웹해킹 : 🌱 simple-web-request (0)	2023.08.14

현재글[Dreamhack] 드림핵 웹해킹 : proxy-1

Seondalgorithm