[Dreamhack] CSRF-1/2 - WriteUp

---

WriteUp

문제 목표와 주요 기능 설명

---

엔드포인트 분석

/vuln

xss에 대한 스크립트 단을 필터링 하는 부분이며 GET 요청으로 확인을 하네요
단, 명확하게 필터링 되어 있지 않아 xss도 가능하나 우린 csrf로 합시다
<> 이런 태그도 가능하니까 가능한거겠죠? (이 코드가 핵심!!)

---

/memo

global로 memo_text를 지정해주었죠
또한 text는 이용자가 전달한 파라미터를 입력받고 해당 상수 변수에 저장하여..
render_template을 통해 반환해주네요(이 부분을 활용할 수 있겠죠?)

---

/admin/notice_flag

아까 global로 memo_text 지정했으니까 이용해 사용할 수 있죠
또한 로컬 ip에 접근하지 않는다면 한 번 Access Denied해주고
또.. 요청받은 userid가 admin이 아니면 또 권한 에러 띄우기에 이 두가지 모두 해결해야겠죠

그래서 CSRF 공격으로 하라고 하나보네요

---

/flag

사용자의 대한 입력을 GET으로 요청 받고(URL)

POST로 해당 파라미터의 값을 받아
check_csrf에 검증을 하며 밑에 코드가 그런 내용이죠 해당 cookie도 생성하고요

출력은 아래 나온 내용으로 출력을 URL 파라미터값으로 다시 변환하여

read_url이라는 함수를 통해 반환을 해주네요 우리 시나리오는 로컬에서 하는거라서..
127.0.0.1로 호스트를 접근할 것입니다.

read_url은 셀리늄이라는 코드를 활용해 관리자 봇이 계속 접근한다는 점은 꿀팁으로 알아두세요
그러기 때문에 read_url에 관리자 봇이 접근합니다.

---

취약점 분석

/vuln

xss에 대한 스크립트 단을 필터링 하는 부분이며 GET 요청으로 확인을 하네요
단, 명확하게 필터링 되어 있지 않아 xss도 가능하나 우린 csrf로 합시다
<> 이런 태그도 가능하니까 가능한거겠죠? (이 코드가 핵심!!)

넘어가기 귀찮으실 거니까 여기로 가지고 왔어요 ㅎ

---

익스플로잇

/vuln에서 입력해 익스플로잇 시키는 부분으로 CSRF의 특징을 지니고 있습니다.
해서 Dreamhack tools를 활용하여 한번 해볼까요

시나리오와 해당 flag를 얻는 과정이 어떻게 되는지는 말 안해도 보이겠죠?

테스트로 이미지를 넣으고 바로 적용되는 것도 이미지를 넣어서 보내드릴께요

<img src="https://sbcjilh.request.dreamhack.games">

요청이 잘 왔으며 image테그로 cross-site로 왔기에 위 해당 공격기법 적용이 되겠죠

실습 코드

<img src="/admin/notice_flag?userid=admin" width=0px height=0px>

위와 같은 코드를 /flag에 있어서 넣어서 적용을 한다면..

DH{11a230801ad0b80d52b996cbe203e83d}

---

---

[Dreamhack] CSRF-2 - WriteUp

취약점 분석

위 코드랑 유사하므로 이 부분만 봅시다.
Password를 바꾸는 부분으로 제 생각으론 CSRF-2 문제가 가장 명확한 CSRF 공격의 예제이지 않을까..

쨋든 세션 ID를 확인하고(없으면 None으로) pw를 입력받아 바꾸는 부분이네요...
뭐 이게 모든 부분이 끝나고 실습 코드로 들어가도 될거 같네요

<img src=/change_password?pw=1234>

바뀐 PW를 통해 admin으로 로그인을 한다면..

DH{c57d0dc12bb9ff023faf9a0e2b49e470a77271ef}

---

참고 자료

csrf-1

csrf-2

 

Exercise: CSRF

참고 이미지