[Dreamhack]CSRF-1

해킹공부/Dreamhack

[Dreamhack]CSRF-1

밍구21 2022. 9. 22. 18:29

#!/usr/bin/python3
from flask import Flask, request, render_template
from selenium import webdriver
import urllib
import os

app = Flask(__name__)
app.secret_key = os.urandom(32)

try:
    FLAG = open("./flag.txt", "r").read()
except:
    FLAG = "[**FLAG**]"


def read_url(url, cookie={"name": "name", "value": "value"}):
    cookie.update({"domain": "127.0.0.1"})
    try:
        options = webdriver.ChromeOptions()
        for _ in [
            "headless",
            "window-size=1920x1080",
            "disable-gpu",
            "no-sandbox",
            "disable-dev-shm-usage",
        ]:
            options.add_argument(_)
        driver = webdriver.Chrome("/chromedriver", options=options)
        driver.implicitly_wait(3)
        driver.set_page_load_timeout(3)
        driver.get("http://127.0.0.1:8000/")
        driver.add_cookie(cookie)
        driver.get(url)
    except Exception as e:
        driver.quit()
        print(str(e))
        # return str(e)
        return False
    driver.quit()
    return True


def check_csrf(param, cookie={"name": "name", "value": "value"}):
    url = f"http://127.0.0.1:8000/vuln?param={urllib.parse.quote(param)}"
    return read_url(url, cookie)


@app.route("/")
def index():
    return render_template("index.html")


@app.route("/vuln")
def vuln():
    param = request.args.get("param", "").lower()
    xss_filter = ["frame", "script", "on"]
    for _ in xss_filter:
        param = param.replace(_, "*")
    return param


@app.route("/flag", methods=["GET", "POST"])
def flag():
    if request.method == "GET":
        return render_template("flag.html")
    elif request.method == "POST":
        param = request.form.get("param", "")
        if not check_csrf(param):
            return '<script>alert("wrong??");history.go(-1);</script>'

        return '<script>alert("good");history.go(-1);</script>'


memo_text = ""


@app.route("/memo")
def memo():
    global memo_text
    text = request.args.get("memo", None)
    if text:
        memo_text += text
    return render_template("memo.html", memo=memo_text)


@app.route("/admin/notice_flag")
def admin_notice_flag():
    global memo_text
    if request.remote_addr != "127.0.0.1":
        return "Access Denied"
    if request.args.get("userid", "") != "admin":
        return "Access Denied 2"
    memo_text += f"[Notice] flag is {FLAG}\n"
    return "Ok"


app.run(host="0.0.0.0", port=8000)

문제 페이지!
xss문제와 문제페이지 구성이 거의 유사하다.

vuln페이지는 주소창에 vuln변수에 스크립트문이 삽입되어 있는 것이 그대로 노출이 되는 건 같지만 화면에는 스크립트문이 필터링 되는 것이 다르다.

memo 페이지는 마찬가지로 hello가 출력된다.

notice flag 페이지가 새로운 페이지인데 access denied 문구가 출력된다.

flag페이지는 param 값을 설정하도록 빈칸이 뚫어져있는 구조가 xss페이지와 정확히 일치한다.

vuln?param=<img src= "/admin/notice_flag?userid=admin"/>
-> 이미지 태그를 이용하였다. notice flag 페이지에서 userid변수를 admin으로 설정해주었다. 이유는 코드로 볼 수 있다. (코드 추가 예정)

제출 시 플래그가 뜨는 걸 확인했다.

저작자표시