시작하기 전에 문제를 간단하게 읽는다.
SQL INJECTION을 이용해 플래그를 얻는 문제
*sql injection=이용자가 SQL구문에 임의의 문자열을 삽입하는 행위
#!/usr/bin/python3
from flask import Flask, request, render_template, g
import sqlite3
import os
import binascii
app = Flask(__name__)
app.secret_key = os.urandom(32)
try:
FLAG = open('./flag.txt', 'r').read()
except:
FLAG = '[**FLAG**]'
DATABASE = "database.db"
if os.path.exists(DATABASE) == False:
db = sqlite3.connect(DATABASE)
db.execute('create table users(userid char(100), userpassword char(100));')
db.execute(f'insert into users(userid, userpassword) values ("guest", "guest"), ("admin", "{binascii.hexlify(os.urandom(16)).decode("utf8")}");')
db.commit()
db.close()
def get_db():
db = getattr(g, '_database', None)
if db is None:
db = g._database = sqlite3.connect(DATABASE)
db.row_factory = sqlite3.Row
return db
def query_db(query, one=True):
cur = get_db().execute(query)
rv = cur.fetchall()
cur.close()
return (rv[0] if rv else None) if one else rv
@app.teardown_appcontext
def close_connection(exception):
db = getattr(g, '_database', None)
if db is not None:
db.close()
@app.route('/')
def index():
return render_template('index.html')
@app.route('/login', methods=['GET', 'POST'])
def login():
if request.method == 'GET':
return render_template('login.html')
else:
userid = request.form.get('userid')
userpassword = request.form.get('userpassword')
res = query_db(f'select * from users where userid="{userid}" and userpassword="{userpassword}"') /* *은 모든 정보를 다 불러모음*/
if res:
userid = res[0]
if userid == 'admin':
return f'hello {userid} flag is {FLAG}'
return f'<script>alert("hello {userid}");history.go(-1);</script>'
return '<script>alert("wrong");history.go(-1);</script>'
app.run(host='0.0.0.0', port=8000)문제에 필요한 코드
(엔드 포인트 확인 필요)
코드를 이용해 로그인에 성공하면 플래그가 나온다.
@app.route('/login', methods=['GET', 'POST'])
def login():
if request.method == 'GET':
return render_template('login.html')
else:
userid = request.form.get('userid')
userpassword = request.form.get('userpassword')
res = query_db(f'select * from users where userid="{userid}" and userpassword="{userpassword}"') /* *은 모든 정보를 다 불러모음*/
if res:
userid = res[0]
if userid == 'admin':
return f'hello {userid} flag is {FLAG}'
return f'<script>alert("hello {userid}");history.go(-1);</script>'
return '<script>alert("wrong");history.go(-1);</script>'46~59행의 코드
이 부분의 엔드 포인트를 살펴 보았을 때
GET을 넣으면 login.html을 반환
알맞은 userid와 userpassword를 입력 시
flag반환 확인 가능
56~57행을 보았을 때 알맞은 userid는 admin으로
admin을 입력했을 때 flag획득이 가능하다.
select * from users where userid="{userid}" and userpassword="{userpassword}"
다음 select문에서 userid 대신 admin을 넣는다.
userpassword는 모르기 때문에 admin 뒤 문장은
주석을 처리를 해준다.
(주석 종류 -,#,/**/)
admin"-- 입력 시 select문은
select * from users where userid="admin"-- and userpassword="{userpassword}"
이렇게 변한다.
(-- 뒷 문장부터는 무시)
주석 뒷 문장부터는 무시가 되기 때문에
userpassword에는 아무 값이 넣어도 무방하다.
이렇게 로그인 시 플래그 획득이 가능하다.
정답 DH{c1126c8d35d8deaa39c5dd6fc8855ed0}