app.route("/vuln")
def vuln():
param = request.args.get("param", "").lower()
xss_filter = ["frame", "script", "on"]
for _ in xss_filter:
param = param.replace(_, "*")
return param
@app.route("/flag", methods=["GET", "POST"])
def flag():
if request.method == "GET":
return render_template("flag.html")
elif request.method == "POST":
param = request.form.get("param", "")
if not check_csrf(param):
return '<script>alert("wrong??");history.go(-1);</script>'
return '<script>alert("good");history.go(-1);</script>'flag 페이지에서 넘긴 값을 가지고 check_csrf 함수에서 vuln페이지로 이동한다.
vuln 페이지에서는 xss를 검사한다.
@app.route('/login', methods=['GET', 'POST'])
def login():
if request.method == 'GET':
return render_template('login.html')
elif request.method == 'POST':
username = request.form.get('username')
password = request.form.get('password')
try:
pw = users[username]
except:
return '<script>alert("user not found");history.go(-1);</script>'
if pw == password:
resp = make_response(redirect(url_for('index')) )
session_id = os.urandom(8).hex()
session_storage[session_id] = username
token_storage[session_id] = md5((username + request.remote_addr).encode()).hexdigest()
resp.set_cookie('sessionid', session_id)
return resp
return '<script>alert("wrong password");history.go(-1);</script>'
@app.route("/change_password")
def change_password():
session_id = request.cookies.get('sessionid', None)
try:
username = session_storage[session_id]
csrf_token = token_storage[session_id]
except KeyError:
return render_template('index.html', text='please login')
pw = request.args.get("pw", None)
if pw == None:
return render_template('change_password.html', csrf_token=csrf_token)
else:
if csrf_token != request.args.get("csrftoken", ""):
return '<script>alert("wrong csrf token");history.go(-1);</script>'
users[username] = pw
return '<script>alert("Done");history.go(-1);</script>'로그인 부분과 비밀번호 변경 부분이다.
로그인 부분에서는 비밀번호가 맞으면 index 페이지로 이동하면서 세션과 토큰을 설정한다.
비밀번호 변경 페이지에서는 전달된 csrf 토큰이 일치해야 비밀번호를 변경한다.
csrf 토큰을 생성할 때 랜덤 방식이 아니라 ip주소와 username을 이용해서 md5로 만들기 때문에 토큰을 알아낼 수 있다.
admin127.0.0.1를 md5로 인코딩해보면 토큰을 구할 수 있다.
flag를 얻기 위해서는 admin으로 로그인해야 하기 때문에 flag와 vuln을 이용해서
change_password로 요청을 보내야 한다.
script태그는 필터링되고 있기 때문에 img 태그를 사용해서
<img src="/change_password?pw=1234&csrftoken=7505b9c72ab4aa94b1a4ed7b207b67fb">이런 식으로 공격문을 만들 수 있다.
flag 페이지에서 이 공격문을 입력하고
1234로 로그인을 하면
flag를 얻을 수 있다.
'웹해킹' 카테고리의 다른 글
| 드림핵 Client Side Template Injection 롸업 (0) | 2023.11.26 |
|---|---|
| Client Side Injection (0) | 2023.11.26 |
| CSRF/CORS Bypass (0) | 2023.11.26 |
| 드림핵 CSP Bypass Advanced 롸업 (0) | 2023.11.25 |
| 드림핵 CSP Bypass 롸업 (0) | 2023.11.25 |
