Web Hacking 과제_1(Dreamhack_CProxy: Inject)

🔻과제 2

 

 

두번째 문제의 첫 화면이다.

 

일단 admin으로 시도했는데, 어쩌다 비밀번호 8글자이상 이구나.. 라는 것을 알았다. 

 

 

 

근데 이 이후에부터 어떻게 해야할지 갈피를 잡지 못하였다..

개발자도구를 통해서 코드도 봤는데 딱히 어떤 정보를 얻어야할 지 모르겠다.

 

일단 문제 푸는 방법에 대해서 열심히 찾아봤다.

문제를 풀기위해서 핵심적으로 봐야하는 파일이 두가지 정도있다.

 

1. index.js 파일

​

해당 파일에서 집중적으로 보아야할 부분은 플래그를 얻을 수 있는 엔드포인트에 대해 파악해야 한다.

이 웹페이지에 대한 전체적인 구성을 담당하고 있기에 플래그가 저장되어 있는 엔드포인트가 존재하고, 그 부분에 인증이 필요하다는 것을 알 수 있다.

​지금 당장은 진짜 플래그를 찾는 곳을 파악하기 어려우니 코드 파악만 하고 넘기자.

/auth 엔드포인트 : db.doLogin 함수로 로그인을 진행한다.
관련 함수는 db.js 파일에 있으니 참고해야 한다.
​
/ 엔드포인트 : 기본적인 요청이 발생하는 곳으로  port, host 등을 입력해 요청을 보내는 곳이다.
/proxy 엔드포인트 : 코드론 보이지만 실제론 숨겨져있다.
/ 엔드포인트에서 요청을 보내면 proxy 엔드포인트로 이동, 쿼리에 입력이 담겨 요청이 진행된다.
​
/api/history : 실제로 플래그를 찾는 엔드포인트이다.
​
/api/local/flag 엔드포인트 : 플래그를 반환하는 엔드포인트이다.
실제론 우리가 접근할 수 없는 엔드포인트이기 때문에 관심을 두지 않아도 된다.

 

 

 

2. db.js 파일

​

여기서 봐야할 것은 sql 문 뿐이다.

const result = await query("SELECT * FROM users WHERE id = ? AND pw = ?", [id, pw]);

 

​

문제 풀이 방법을 말해보자면,

 

우선 sql 관련 파일인 flag_inject 파일을 열어보면 url이라는 key와 admin_inject value를 가지고 있는 response를 볼 수 있다.

그리고 response의 data 값으로 플래그가 있기 때문에 유저의 id에 해당하는 url 값을 가진 response를 찾아오는​

/api/history 엔드포인트에서 플래그를 얻을 수 있다는걸 알 수 있다.

​

따라서 sql 인젝션으로 admin_inject 계정을 탈취한 다음, 그 계정을 가진 상태에서 /api/history 로 들어가 reg를 확인,

그 다음에 /api/history/{reg값}를 넣으면 된다.

 

[학습 참고 자료]

​

​ Node.js SQL Injection: Examples & Prevention (stackhawk.com)

 

​

Node.js SQL Injection: Examples & Prevention

 

해당 내용을통해 sql 쿼리문을 알아냈고 이는 쿼리 매개 변수를 활용한  sql injection 방지 대책 코드이다.

 

await query("SELECT * FROM users WHERE id = ? AND pw = ?", [id, pw]);

 

이 코드로 쿼리문을 만들면 물음표가 있는 곳에 id와 pw가 자동으로 이스케이핑되어 들어가는데,

따라서 sql injection 공격을 어느정도 막을 수 있다고 생각할 수 있지만 해결책이 있다고 한다.

 

요청의 body가 id=noid&pw=nopw 로 구성되어 있다면 id=admin&pw[pw]=1로 인젝션이 가능하다.​

pw[pw]로 값을 전달할 경우 값이 아닌 객체를 전달하는 것으로 sql에서 판단되기 때문에 sql 문은 아래와 같이 된다.

 

SELECT * FROM users WHERE id = 'admin_inject' AND pw = `pw` = 1

 

 

로그인 상태에서 /api/history/1로 접속하면 끝난다.

 

하나더 기억할 것은 아래인데, 이 엔드포인트로의 접근이 필요하는 점이다.

 

/api/history/:rid(\\d+)

 

여기서 :rid(\\d+) 는 정규식으로 이 곳에 숫자를 넣으면 rid 의 값으로 정해진다는 뜻으로,​

api/history/1을 하면 rid = 1인 response를 검색하는 것이다.

 

이러면, 코드에 의해 필터링되지 않은 RESPONSE가 나타난다고한다.

 

그런데,, 난 사실 해당 내용에  대해 열심히 공부할 내용을 찾아보기는 했지만, 아직 완벽히 이해하지 못해서 플래그를 구하지 못했다.

공부를 좀더 해보면서 다시 과제를 풀어내야할 것 같다.

 

추가 공부를 진행 후 꼭 플래그를 얻어내도록 하겠습니다.

 

+ 추가 과제 진행 (2차 시도 실패)

 

코드에 의해 필터링되지 않은 response가 나타난다.

로그인을 눌러서 /api/history/1을 입력해보았다. 

Cannot GET이라고 뜬다.

 

 

Not Found가 뜬다.

 

 3차 시도도 진행해야지..

 

 

 

이번주 과제 끝

 

[ 과제 참고 자료 ]

https://blog.naver.com/sun1497a/223205481650

CProxy:injection 문제 해결!!