#!/usr/bin/python3
from flask import Flask, request, render_template, g
import sqlite3
import os
import binascii
app = Flask(__name__)
app.secret_key = os.urandom(32)
try:
FLAG = open('./flag.txt', 'r').read()
except:
FLAG = '[**FLAG**]'
DATABASE = "database.db"
if os.path.exists(DATABASE) == False:
db = sqlite3.connect(DATABASE)
db.execute('create table users(userid char(100), userpassword char(100), userlevel integer);')
db.execute(f'insert into users(userid, userpassword, userlevel) values ("guest", "guest", 0), ("admin", "{binascii.hexlify(os.urandom(16)).decode("utf8")}", 0);')
db.commit()
db.close()
def get_db():
db = getattr(g, '_database', None)
if db is None:
db = g._database = sqlite3.connect(DATABASE)
db.row_factory = sqlite3.Row
return db
def query_db(query, one=True):
cur = get_db().execute(query)
rv = cur.fetchall()
cur.close()
return (rv[0] if rv else None) if one else rv
@app.teardown_appcontext
def close_connection(exception):
db = getattr(g, '_database', None)
if db is not None:
db.close()
@app.route('/')
def index():
return render_template('index.html')
@app.route('/login', methods=['GET', 'POST'])
def login():
if request.method == 'GET':
return render_template('login.html')
else:
userlevel = request.form.get('userlevel')
res = query_db(f"select * from users where userlevel='{userlevel}'")
if res:
userid = res[0]
userlevel = res[2]
print(userid, userlevel)
if userid == 'admin' and userlevel == 0:
return f'hello {userid} flag is {FLAG}'
return f'<script>alert("hello {userid}");history.go(-1);</script>'
return '<script>alert("wrong");history.go(-1);</script>'
app.run(host='0.0.0.0', port=8000)
Login 버튼이 미친 존재감을 보이고 있기 때문에 Login버튼을 한 번 눌러봤다.
오호, Login 버튼을 누르니 ‘userlevel’을 입력하는 곳이 나오고, Login버튼을 누르면 우리가 입력한 userlevel이 푸시되는 것 같다.
위에 코드를 살펴보니 우리가 저곳에 userlevel을 입력하고 Login버튼을 누르면?
def login():
if request.method == 'GET':
return render_template('login.html')
else:
userlevel = request.form.get('userlevel')
res = query_db(f"select * from users where userlevel='{userlevel}'")
if res:
userid = res[0]
userlevel = res[2]
print(userid, userlevel)
if userid == 'admin' and userlevel == 0:
return f'hello {userid} flag is {FLAG}'
return f'<script>alert("hello {userid}");history.go(-1);</script>'
return '<script>alert("wrong");history.go(-1);</script>'이 코드에서 userlevel에 우리가 입력한 userlevel이 들어가게되는 것 같다.
그렇다면 FLAG를 얻으려면 어떻게 입력해야 할까
그 조건은 아래 코드에서 얻을 수 있는 것 같다.
if userid == 'admin' and userlevel == 0:
return f'hello {userid} flag is {FLAG}'userid와 userlevel이 각각 ‘admin’과 ‘0’ 이어야한다.
그럼 우리가 입력할 수 있는 것은 userlevel 뿐인데, 어떻게 두 조건을 만족시킬 수 있을까 고민해봐야겠다.
우리가 입력하고 나서 그 값이 어디로 들어가게 되는지 정확한 위치를 찾아보자
userlevel = request.form.get('userlevel')
res = query_db(f"select * from users where userlevel='{userlevel}'")
if res:
userid = res[0]
userlevel = res[2]
print(userid, userlevel)userlevel에 우리가 입력한 userlevel이 request되어 들어가게되는 것 같다.
그리고 userlevel에 들어간 값은 sql쿼리문에 있는 {userlevel} 에 들어가서 res 변수에 쿼리문을 통해 추출된 데이터가 들어가는 것 같다.
그리고 바로 아래
if userid == 'admin' and userlevel == 0:
return f'hello {userid} flag is {FLAG}'이러한 코드가 있는 것을 보아하니 userlevel 입력하는 것을 통해 userid = ‘admin’과 userlevel ==0 이 두 조건을 달성해야 FLAG를 출력하는 것으로 보인다.
그럼 값을 삽입해보자
0만 삽입해보니
userlevel == 0 은 guest 인가보다
그럼 sql 문법이 작동 되는지 시험해보기 위해서 국룰 sql 구문을 삽입해봤다
이것도 guest로 인식하는 것을 보니, sql 문법 삽입은 가능해보인다.
그렇다면 userid == ‘admin’ 과 userlevel == 0 이 두 조건을 만족시킬 수 있는 방법이 생긴 것이다.
sql 문법인 AND를 통해 두 조건에 맞는 값을 삽입해준다면 FLAG를 출력할 것 같다.
우선 위 입력창은 userlevel을 입력하는 곳이기 때문에 0은 그냥 아무것도 씌우지 않고 그냥 써주었고, userid == ‘admin’이라는 조건을 만족시켜야하기 때문에
userid 값을 수정하기 위해 AND 연산자를 사용하고, 그 다음 userid를 수정해야하기 때문에 userid =까지 세미콜론으로 씌우고 원하는 값을 써주면 아마 userid 또한 바꿀 수 있을 것으로 보인다.
그래서 위의 코드처럼 적어서 삽입해봤다.
예상대로 두 조건을 만족시켜주니 FLAG를 출력한 모습이다 .
'DreamHack > Web hacking' 카테고리의 다른 글
| [LEVEL-1] Apache htaccess (1) | 2023.12.06 |
|---|---|
| [LEVEL-Beginner] pathtraversal (1) | 2023.12.02 |
| [LEVEL-1] session-basic (0) | 2023.11.20 |
| [LEVEL-1] Type c-j (0) | 2023.11.15 |
| [LEVEL-1] [wargame.kr] strcmp (0) | 2023.11.09 |
