simple_sqli

로그인 서비스입니다.
SQL INJECTION 취약점을 통해 플래그를 획득하세요. 플래그는 flag.txt, FLAG 변수에 있습니다.

---

#!/usr/bin/python3
from flask import Flask, request, render_template, g
import sqlite3
import os
import binascii

app = Flask(__name__)
app.secret_key = os.urandom(32)

try:
    FLAG = open('./flag.txt', 'r').read()
except:
    FLAG = '[**FLAG**]'

# table만들기
DATABASE = "database.db"
if os.path.exists(DATABASE) == False:
    db = sqlite3.connect(DATABASE)
    db.execute('create table users(userid char(100), userpassword char(100));')
    db.execute(f'insert into users(userid, userpassword) values ("guest", "guest"), ("admin", "{binascii.hexlify(os.urandom(16)).decode("utf8")}");')
    db.commit()
    db.close()

# g는 flask에서 제공하는 global object이다.
def get_db():
    db = getattr(g, '_database', None)
    if db is None:
        db = g._database = sqlite3.connect(DATABASE)
    db.row_factory = sqlite3.Row
    return db

# one이 True면 왼쪽, 아니면 rv를 반환한다.
def query_db(query, one=True):
    cur = get_db().execute(query)
    rv = cur.fetchall()
    cur.close()
    return (rv[0] if rv else None) if one else rv

@app.teardown_appcontext
def close_connection(exception):
    db = getattr(g, '_database', None)
    if db is not None:
        db.close()

# index페이지
@app.route('/')
def index():
    return render_template('index.html')

# login페이지
@app.route('/login', methods=['GET', 'POST'])
def login():
    if request.method == 'GET':
        return render_template('login.html')
    else:
        userid = request.form.get('userid')
        userpassword = request.form.get('userpassword')
        res = query_db(f'select * from users where userid="{userid}" and userpassword="{userpassword}"')
        if res:
            userid = res[0]
            if userid == 'admin':
                return f'hello {userid} flag is {FLAG}'
            return f'<script>alert("hello {userid}");history.go(-1);</script>'
        return '<script>alert("wrong");history.go(-1);</script>'

app.run(host='0.0.0.0', port=8000)

db에서 guest와 admin계정을 만든다. admin계정의 패스워드는 랜덤한 숫자를 만들어 알 수 없게 한다.

 

index페이지와 login페이지로 단순하다. login페이지를 보면, 동적으로 query를 하는데, 사용자가 입력한 값을 그대로 sql문에 포맷하여 쿼리를 한다. 여기서 취약점이 발생한다.

 

1. 로그인 우회하여 flag값 알아내기

f'select * from users where userid="{userid}" and userpassword="{userpassword}"'

에서 userid부분과 userpassword부분을 잘 조정하면 된다.

본인은 userid는 admin" or "1 userpassword는 dummy 로 하여 풀이하였다.

 

2. admin계정의 패스워드를 알아내 로그인하기