본문 바로가기
Web Hacking/Dreamhack

[Dreamhack] session-basic write - 티스토리

danmooji 2024. 1. 9. 23:46

 

 

 

#!/usr/bin/python3
from flask import Flask, request, render_template, make_response, redirect, url_for

app = Flask(__name__)

try:
    FLAG = open('./flag.txt', 'r').read()
except:
    FLAG = '[**FLAG**]'

users = {
    'guest': 'guest',
    'user': 'user1234',
    'admin': FLAG
}


# this is our session storage
session_storage = {
}


@app.route('/')
def index():
    session_id = request.cookies.get('sessionid', None)
    try:
        # get username from session_storage
        username = session_storage[session_id]
    except KeyError:
        return render_template('index.html')

    return render_template('index.html', text=f'Hello {username}, {"flag is " + FLAG if username == "admin" else "you are not admin"}')


@app.route('/login', methods=['GET', 'POST'])
def login():
    if request.method == 'GET':
        return render_template('login.html')
    elif request.method == 'POST':
        username = request.form.get('username')
        password = request.form.get('password')
        try:
            # you cannot know admin's pw
            pw = users[username]
        except:
            return '<script>alert("not found user");history.go(-1);</script>'
        if pw == password:
            resp = make_response(redirect(url_for('index')) )
            session_id = os.urandom(32).hex()
            session_storage[session_id] = username
            resp.set_cookie('sessionid', session_id)
            return resp
        return '<script>alert("wrong password");history.go(-1);</script>'


@app.route('/admin')
def admin():
    # developer's note: review below commented code and uncomment it (TODO)

    #session_id = request.cookies.get('sessionid', None)
    #username = session_storage[session_id]
    #if username != 'admin':
    #    return render_template('index.html')

    return session_storage


if __name__ == '__main__':
    import os
    # create admin sessionid and save it to our storage
    # and also you cannot reveal admin's sesseionid by brute forcing!!! haha
    session_storage[os.urandom(32).hex()] = 'admin'
    print(session_storage)
    app.run(host='0.0.0.0', port=8000)

 

 

Cookie 문제와 같이 admin으로 로그인 시 index페이지에 flag가 리턴된다.

 

이번에 비밀번호를 모르기 때문에 쿠키값 변조 혹은, 세션 id 탈취를 통해 admin으로 로그인 해야한다.

 

 

 

guest로그인 후 확인하니 애초에 username을 admin으로 고정되어 있다. 또한 코드에서 역시 쿠키에 sessionid를 설정하는 것 밖에 없다. 따라서 sessionid 탈취를 해야한다.

 

코드를 자세히 보면 /admin으로 접근 시 session_storage를 리턴한다.

 

 

 

세션id 값 변조

'Web Hacking > Dreamhack' 카테고리의 다른 글

[Dreamhack] csrf-2 write up - 티스토리  (0) 2024.01.12
[Dreamhack] csrf-1 write up - 티스토리  (0) 2024.01.12
[Dreamhack] XSS-2 write up - 티스토리  (0) 2024.01.12
[Dreamhack] XSS-1 write up - 티스토리  (0) 2024.01.12
[Dreamhack] Cookie write up - 티스토리  (0) 2024.01.09

'Web Hacking/Dreamhack' Related Articles

티스토리툴바