개발세발보안중

[드림핵]웹해킹_simple_sqli_chatgpt Writeup 본문

CTF

[드림핵]웹해킹_simple_sqli_chatgpt Writeup

채영채영 2023. 4. 2. 02:00

접속사이트에 접속하니 이렇게 나왔다.

#!/usr/bin/python3
from flask import Flask, request, render_template, g
import sqlite3
import os
import binascii

app = Flask(__name__)
app.secret_key = os.urandom(32)

try:
    FLAG = open('./flag.txt', 'r').read()
except:
    FLAG = '[**FLAG**]'

DATABASE = "database.db"
if os.path.exists(DATABASE) == False:
    db = sqlite3.connect(DATABASE)
    db.execute('create table users(userid char(100), userpassword char(100), userlevel integer);')
    db.execute(f'insert into users(userid, userpassword, userlevel) values ("guest", "guest", 0), ("admin", "{binascii.hexlify(os.urandom(16)).decode("utf8")}", 0);')
    db.commit()
    db.close()

def get_db():
    db = getattr(g, '_database', None)
    if db is None:
        db = g._database = sqlite3.connect(DATABASE)
    db.row_factory = sqlite3.Row
    return db

def query_db(query, one=True):
    cur = get_db().execute(query)
    rv = cur.fetchall()
    cur.close()
    return (rv[0] if rv else None) if one else rv

@app.teardown_appcontext
def close_connection(exception):
    db = getattr(g, '_database', None)
    if db is not None:
        db.close()

@app.route('/')
def index():
    return render_template('index.html')

@app.route('/login', methods=['GET', 'POST'])
def login():
    if request.method == 'GET':
        return render_template('login.html')
    else:
        userlevel = request.form.get('userlevel')
        res = query_db(f"select * from users where userlevel='{userlevel}'")
        if res:
            userid = res[0]
            userlevel = res[2]
            print(userid, userlevel)
            if userid == 'admin' and userlevel == 0:
                return f'hello {userid} flag is {FLAG}'
            return f'<script>alert("hello {userid}");history.go(-1);</script>'
        return '<script>alert("wrong");history.go(-1);</script>'

app.run(host='0.0.0.0', port=8000)

해당 코드는 문제에서 주어진 python 파일의 실행코드이다.
코드 하단에 보면, userid가 admin이면 flag값을 출력하는 코드가 보인다. 입력해보도록 하겠다.

???

....ㅠ writeup도 없네 ..

 

민망하지만 2일을 더 붙잡고 있었던 결과. !!!

코드 속 query문에서 userlevel 값을 이용하여 조회하고 있다. 
즉, userid를 입력하지 않고 userlevel 값만 입력하면 해당 값과 일치하는 레코드를 조회한다. 
SQL injection인 것은 분명한데, 아무리 어떤 값을 입력해도 답이 나오지 않았다.

웹해킹을 잘 못하는 나는, 기존에 배웠던 지식과

https://www.inflearn.com/course/%ED%99%94%EC%9D%B4%ED%8A%B8%ED%95%B4%EC%BB%A4%EA%B0%80-%EB%90%98%EA%B8%B0%EC%9C%84%ED%95%9C-8%EA%B0%80%EC%A7%80/dashboard

 

[무료] 화이트해커가 되기 위한 8가지 웹 해킹 기술 - 인프런 | 강의

DVWA라는 웹 보안 교육 목적의 애플리케이션을 이용한 실습을 통하여 누구나 쉽게 기본적인 웹 해킹 기술부터 시작하여 소스코드 레벨에서의 대응 방법과 이를 우회하여 공격하는 고급 기술까지

www.inflearn.com

해당 강의에서 얻은 지식을 토대로, union 함수를 쓰면 된다는 것을 알아냈다 .. ! 

해당 sql injection query문을 설명하도록 하겠다.

' or 1=1 
:항상 참이 되는 조건문을 추가하여 기존의 where절을 무력화

union select
:기존의 select문을 무시하고 새로운 select문을 실행시킴

'admin', userpassword, userlevel from users where userid='admin' 
: userid는 admin, userpassword는랑 userlevel은 기존 users 테이블에서 조회

--
: SQL 주석문, 뒤에 오는 모든 내용을 무시한다. 

Write up이 하나도 없는 문제길래 나도 가오 있게 가려봄

 

저작자표시 비영리 변경금지 (새창열림)

'CTF' 카테고리의 다른 글

[드림핵]session-basic Write-up  (0) 2023.04.02
[wargame.kr] login filtering Write-up  (0) 2023.04.02
드림핵 file-download-1  (0) 2023.03.28
드림핵 php-1  (1) 2023.03.28
드림핵 Carve Party  (0) 2023.03.27
'CTF' Related Articles more
Comments