simple_sqli
문제 정보
- 로그인 서비스입니다.
- SQL INJECTION 취약점을 통해 플래그를 획득하세요. 플래그는 flag.txt, FLAG 변수에 있습니다.
풀이
먼저 사이트 접속하면 제일 처음 Login 탭이 있다. Home, About, Contact 다 똑같은 화면이다.
Login 페이지는 userid와 password 입력란이 있다.
문제를 살펴보자
from flask import Flask, request, render_template, g
import sqlite3
import os
import binascii
app = Flask(__name__)
app.secret_key = os.urandom(32)
try:
FLAG = open('./flag.txt', 'r').read()
except:
FLAG = '[**FLAG**]'
DATABASE = "database.db"
if os.path.exists(DATABASE) == False:
db = sqlite3.connect(DATABASE)
db.execute('create table users(userid char(100), userpassword char(100));')
db.execute(f'insert into users(userid, userpassword) values ("guest", "guest"), ("admin", "{binascii.hexlify(os.urandom(16)).decode("utf8")}");')
db.commit()
db.close()
def get_db():
db = getattr(g, '_database', None)
if db is None:
db = g._database = sqlite3.connect(DATABASE)
db.row_factory = sqlite3.Row
return db
def query_db(query, one=True):
cur = get_db().execute(query)
rv = cur.fetchall()
cur.close()
return (rv[0] if rv else None) if one else rv
@app.teardown_appcontext
def close_connection(exception):
db = getattr(g, '_database', None)
if db is not None:
db.close()
@app.route('/')
def index():
return render_template('index.html')
@app.route('/login', methods=['GET', 'POST'])
def login():
if request.method == 'GET':
return render_template('login.html')
else:
userid = request.form.get('userid')
userpassword = request.form.get('userpassword')
res = query_db(f'select * from users where userid="{userid}" and userpassword="{userpassword}"')
if res:
userid = res[0]
if userid == 'admin':
return f'hello {userid} flag is {FLAG}'
return f'<script>alert("hello {userid}");history.go(-1);</script>'
return '<script>alert("wrong");history.go(-1);</script>'
app.run(host='0.0.0.0', port=8000)
이 코드에서 userid와 userpassword 컬럼을 가지는 users 테이블을 만들고 insert문으로 (guest,guest), ("admin", "{binascii.hexlify(os.urandom(16)).decode("utf8")}) 값을 만들었다.
DATABASE = "database.db"
if os.path.exists(DATABASE) == False:
db = sqlite3.connect(DATABASE)
db.execute('create table users(userid char(100), userpassword char(100));')
db.execute(f'insert into users(userid, userpassword) values ("guest", "guest"), ("admin", "{binascii.hexlify(os.urandom(16)).decode("utf8")}");')
db.commit()
db.close()
먼저 userid와 password 값에 guest, guest를 입력해보면 hello guest 창이 뜬다.
다음 코드에서 userid와 userpassword를 사용자 입력으로 받아서 넣는 res의 쿼리문에 userid가 admin이면 flag값을 찾을 수 있는 걸 볼 수 있다.
@app.route('/login', methods=['GET', 'POST'])
def login():
if request.method == 'GET':
return render_template('login.html')
else:
userid = request.form.get('userid')
userpassword = request.form.get('userpassword')
res = query_db(f'select * from users where userid="{userid}" and userpassword="{userpassword}"')
if res:
userid = res[0]
if userid == 'admin':
return f'hello {userid} flag is {FLAG}'
return f'<script>alert("hello {userid}");history.go(-1);</script>'
return '<script>alert("wrong");history.go(-1);</script>'
비밀번호는 상관없고 userid만 admin이면 되기 때문에 userpassword는 1로 하고 userid 입력 창에 admin을 넣어주고 뒤에는 주석으로 날려버리는 admin” #을 입력해 보았다.
다시 #을--로 바꿔서 넣어보면 flag값이 나온다.
'Web Hacking > Dreamhack 풀이' 카테고리의 다른 글
| command-injection-chatgpt (0) | 2023.06.25 |
|---|---|
| command-injection-1 (0) | 2023.06.25 |
| simple_sqli_chatgpt (0) | 2023.06.25 |
| CSRF-2 (0) | 2023.06.25 |
| CSRF-1 (0) | 2023.06.25 |