[Dreamhack] Level2: login-1

🛎️ Access

python으로 작성된 로그인 기능을 가진 서비스입니다.
"admin" 권한을 가진 사용자로 로그인하여 플래그를 획득하세요.

 

 

👾 Exploit Algorithm & Payload

> app.py

#!/usr/bin/python3
from flask import Flask, request, render_template, make_response, redirect, url_for, session, g
import sqlite3
import hashlib
import os
import time, random

app = Flask(__name__)
app.secret_key = os.urandom(32)

DATABASE = "database.db"

userLevel = {
    0 : 'guest',
    1 : 'admin'
}
MAXRESETCOUNT = 5

try:
    FLAG = open('./flag.txt', 'r').read()
except:
    FLAG = '[**FLAG**]'

def makeBackupcode():
    return random.randrange(100)

def get_db():
    db = getattr(g, '_database', None)
    if db is None:
        db = g._database = sqlite3.connect(DATABASE)
    db.row_factory = sqlite3.Row
    return db

@app.teardown_appcontext
def close_connection(exception):
    db = getattr(g, '_database', None)
    if db is not None:
        db.close()

@app.route('/')
def index():
    return render_template('index.html')

@app.route('/login', methods=['GET', 'POST'])
def login():
    if request.method == 'GET':
        return render_template('login.html')
    else:
        userid = request.form.get("userid")
        password = request.form.get("password")

        conn = get_db()
        cur = conn.cursor()
        user = cur.execute('SELECT * FROM user WHERE id = ? and pw = ?', (userid, hashlib.sha256(password.encode()).hexdigest() )).fetchone()
        
        if user:
            session['idx'] = user['idx']
            session['userid'] = user['id']
            session['name'] = user['name']
            session['level'] = userLevel[user['level']]
            return redirect(url_for('index'))

        return "<script>alert('Wrong id/pw');history.back(-1);</script>";

@app.route('/logout')
def logout():
    session.clear()
    return redirect(url_for('index'))

@app.route('/register', methods=['GET', 'POST'])
def register():
    if request.method == 'GET':
        return render_template('register.html')
    else:
        userid = request.form.get("userid")
        password = request.form.get("password")
        name = request.form.get("name")

        conn = get_db()
        cur = conn.cursor()
        user = cur.execute('SELECT * FROM user WHERE id = ?', (userid,)).fetchone()
        if user:
            return "<script>alert('Already Exists userid.');history.back(-1);</script>";

        backupCode = makeBackupcode()
        sql = "INSERT INTO user(id, pw, name, level, backupCode) VALUES (?, ?, ?, ?, ?)"
        cur.execute(sql, (userid, hashlib.sha256(password.encode()).hexdigest(), name, 0, backupCode))
        conn.commit()
        return render_template("index.html", msg=f"<b>Register Success.</b><br/>Your BackupCode : {backupCode}")

@app.route('/forgot_password', methods=['GET', 'POST'])
def forgot_password():
    if request.method == 'GET':
        return render_template('forgot.html')
    else:
        userid = request.form.get("userid")
        newpassword = request.form.get("newpassword")
        backupCode = request.form.get("backupCode", type=int)

        conn = get_db()
        cur = conn.cursor()
        user = cur.execute('SELECT * FROM user WHERE id = ?', (userid,)).fetchone()
        if user:
            # security for brute force Attack.
            time.sleep(1)

            if user['resetCount'] == MAXRESETCOUNT:
                return "<script>alert('reset Count Exceed.');history.back(-1);</script>"
            
            if user['backupCode'] == backupCode:
                newbackupCode = makeBackupcode()
                updateSQL = "UPDATE user set pw = ?, backupCode = ?, resetCount = 0 where idx = ?"
                cur.execute(updateSQL, (hashlib.sha256(newpassword.encode()).hexdigest(), newbackupCode, str(user['idx'])))
                msg = f"<b>Password Change Success.</b><br/>New BackupCode : {newbackupCode}"

            else:
                updateSQL = "UPDATE user set resetCount = resetCount+1 where idx = ?"
                cur.execute(updateSQL, (str(user['idx'])))
                msg = f"Wrong BackupCode !<br/><b>Left Count : </b> {(MAXRESETCOUNT-1)-user['resetCount']}"
            
            conn.commit()
            return render_template("index.html", msg=msg)

        return "<script>alert('User Not Found.');history.back(-1);</script>";


@app.route('/user/<int:useridx>')
def users(useridx):
    conn = get_db()
    cur = conn.cursor()
    user = cur.execute('SELECT * FROM user WHERE idx = ?;', [str(useridx)]).fetchone()
    
    if user:
        return render_template('user.html', user=user)

    return "<script>alert('User Not Found.');history.back(-1);</script>";

@app.route('/admin')
def admin():
    if session and (session['level'] == userLevel[1]):
        return FLAG

    return "Only Admin !"

app.run(host='0.0.0.0', port=8000)

 

 

#1

---

: 코드를 확인했다. ('/login' 페이지)

: POST 요청이면 사용자 ID와 비밀번호를 가져와서 DB에서 해당 정보를 찾는다.

: 사용자 정보가 DB에 있으면 세션 정보를 설정하고 인덱스 페이지로 리다이렉트하고, 그렇지 않으면 경고 메시지를 출력된다.

 

: 코드를 확인했다. ('/register' 페이지)

: POST 요청이면 사용자 ID, 비밀번호, 이름을 가져와서 DB에 새로운 사용자가 등록된다.

: 만약 이미 같은 ID를 가진 사용자가 있다면 경고 메시지를 출력한다.

: 새로운 사용자를 등록한 후에는 백업 코드가 생성되고, DB에 저장된다.

: 백업 코드가 랜덤하게 0~100 미만 정수임을 알 수 있다.

 

: 코드를 분석했다. ('/forgot_password' 페이지)

: 사용자 ID, 새 비밀번호, 백업 코드를 작성하고 가져온 userid와 backupcode가 일치하면 비밀번호 변경이 됨과 동시에 새로운 백업 코드를 받을 수 있음을 확인했다.

: 시도 최대 횟수가 5로 지정되어 있음도 확인했다.

 

'/user/<int:useridx>' 페이지

: 사용자의 DB 인덱스, DB에서 해당 인덱스를 가진 사용자를 찾고, 사용자가 존재하면 user.html 페이지 렌더링 후 사용자 정보가 전달된다.

 

'/admin' 페이지

: 현재 세션이 있고, 세션의 사용자 레벨이 관리자(admin) 즉, level 1에 해당하면 해당 페이지에서 FLAG를 획득할 수 있을 것으로 보인다.

 

 

#2

---

'/register' 페이지
userid : password : name
> test1 : test123 : test_name

: 다음과 같이 userid, password, name을 작성하고 아이디를 생성했다.

: BackupCode(42)를 얻을 수 있었다.

 

: 생성했었던 userid와 password를 입력하면 다음과 같이 회원 정보를 얻을 수 있다.

: '/user/17'에 해당 회원 정보가 있음을 확인할 수 있다.

: 여기서 '/user/[1-17]' 까지 확인하였는데 다른 사용자의 정보도 확인되기 때문에 IDOR 취약점이 의심된다.

 

'/user/<int:useridx>' 페이지(Level이 1이 관리자 계정이라 코드에서 확인했기 때문에 작성)
'/user/1' → UserID: Apple UserName: Apple UserLevel: 1
'/user/5' UserID: Dog UserName: Dog UserLevel: 1
'/user/8' UserID: coconut UserName: coconut UserLevel: 1
'/lemon/9' UserID: lemon UserName: lemon UserLevel: 1
'/user/10' UserID: potato UserName: potato UserLevel: 1
'/user/13' UserID: peach UserName: peach UserLevel: 1
'/user/14' UserID: orange UserName: orange UserLevel: 1

- IDOR(Insecure direct object reference) 취약점 -

: 사용자가 직접 객체 식별자(ID, 이름, 인덱스 등)를 변경하여 접근 권한이 없는 자원에 접근할 수 있게 되는 보안 취약점

: 서버가 권한 검사를 제대로 수행하지 않아 발생하는 문제

+ 추가로 관리자가 현재 여러명 지정 되어 있어 침해 가능성이 있음을 유추할 수 있음

 

 

#3

---

: 관리자 userid를 알았으니 '/forgot_password'에서 새로운 패스워드를 변경시도 하였다.

: 그러나 bacupCode가 틀렸기 때문에 시도 횟수가 차감된 것을 알 수 있다.

: 여러가지 비밀번호 접속을 시도하다가 다른 반응이 존재하는 지점을 발견했다.

: useid가 potato 이후로 backupCode가 틀리면 Internal Server Error(status code:500)가 발생하는 것이다.

: Race condition 문제가 의심된다. 또한 취약한 패스워드 복구 취약점이 의심된다.

- Race condition - 

: 여러 프로세스들이 공유된 자원에 동시에 접근을 시도할 때 접근의 타이밍이나 순서 등이 결과 값에 영향을 줄 수 있는 비정상적 상태를 말한다.

: 여기서 idx의 후순위들은 다음과 같이 비정상적인 상태가 출현함을 알 수 있다.

-취약한 패스워드 복구(PR)-

: 패스워드 찾기 같은 프로세스로 인해 공격자가 불법적으로 다른 사용자의 패스워드를 획득, 변경할 가능성이 있는 취약점이다.

 

🔑Analysis and results for obtaining the Flag DH{…}

---

: BurpSuite 도구를 이용하여 backupcode를 0~100까지 Brute Force를 시도했더니 상태코드 200이 발생하는 구간을 확인할 수 있고, FLAG를 획득할 수 있다.