[Dreamhack] Simple SQLI ChatGPT 드림핵 워게임 문제 풀이

🐈‍⬛ Simple SQLI ChatGPT 드림핵 워게임 문제 풀이

1. 문제에 대한 설명을 읽은 후 문제 파일 다운로드

2. 다운받은 app.py 파일 오픈 후 코드 분석

#!/usr/bin/python3
from flask import Flask, request, render_template, g
import sqlite3
import os
import binascii

app = Flask(__name__)
app.secret_key = os.urandom(32)

try:
    FLAG = open('./flag.txt', 'r').read()
except:
    FLAG = '[**FLAG**]'

DATABASE = "database.db"
if os.path.exists(DATABASE) == False:
    db = sqlite3.connect(DATABASE)
    db.execute('create table users(userid char(100), userpassword char(100), userlevel integer);')
    db.execute(f'insert into users(userid, userpassword, userlevel) values ("guest", "guest", 0), ("admin", "{binascii.hexlify(os.urandom(16)).decode("utf8")}", 0);')
    db.commit()
    db.close()

def get_db():
    db = getattr(g, '_database', None)
    if db is None:
        db = g._database = sqlite3.connect(DATABASE)
    db.row_factory = sqlite3.Row
    return db

def query_db(query, one=True):
    cur = get_db().execute(query)
    rv = cur.fetchall()
    cur.close()
    return (rv[0] if rv else None) if one else rv

@app.teardown_appcontext
def close_connection(exception):
    db = getattr(g, '_database', None)
    if db is not None:
        db.close()

@app.route('/')
def index():
    return render_template('index.html')

@app.route('/login', methods=['GET', 'POST'])
def login():
    if request.method == 'GET':
        return render_template('login.html')
    else:
        userlevel = request.form.get('userlevel')
        res = query_db(f"select * from users where userlevel='{userlevel}'")
        if res:
            userid = res[0]
            userlevel = res[2]
            print(userid, userlevel)
            if userid == 'admin' and userlevel == 0:
                return f'hello {userid} flag is {FLAG}'
            return f'<script>alert("hello {userid}");history.go(-1);</script>'
        return '<script>alert("wrong");history.go(-1);</script>'

app.run(host='0.0.0.0', port=8000)

 

※ 코드 주요 기능 & Flow

① 필요한 모듈과 라이브러리 Import

② Application 을 생성하고, 시크릿 키를 랜덤 생성하여 설정

③ Database 초기화
:  Database 가 존재하지 않는 경우 SQLite Database 를 생성하고, 초기 사용자 정보 추가

④ Database 연결 관리
:  get_db() 함수를 사용하여 Database 연결을 얻고, 애플리케이션 컨텍스트에서 연결을 닫음

⑤ 홈 페이지를 렌더링하는 기본 경로('/') 정의

⑥ 로그인 기능
:  '/login' 경로를 정의 로그인 폼에서 제출된 사용자 레벨을 확인 후 레벨이 일치하는 사용자 정보를 Database 에서 불러옴
-->  관리자인 경우 플래그를 표시, 그렇지 않은 경우 이전 페이지로 이동

3. 다시 문제 페이지로 돌아와 서버 생성

 

-->  생성된 http://host3.dreamhack.games:21374/ 으로 접속

4. Login 페이지로 이동한 후 입력값에 "0" 넣기  -->  Admin 이 아닌 Guest 로 로그인됨을 확인

 

5. ChatGPT에 로그인하여 app.py 파일의 코드를 알려주기

6. ChatGPT 사용이 허가된 문제이니, 아래와 같이 질문

7. 다시 홈페이지로 접속하여 아래와 같이 입력 후, Login 버튼 클릭  -->  FLAG 확인 가능

 

8. 여기서 끝내버리면 공부가 아니니, ChatGPT한테 왜 FLAG가 나오게 되었는지 질문

Q) 그 이유도 설명해줘.

 

 

A) 

 FLAG값이 도출되는 이유는 SQL 삽입(SQL Injection) 공격에 기인합니다. 이를 설명하기 위해 주어진 코드에서 로그인 란 처리를 살펴보겠습니다.

res = query_db(f"select * from users where userlevel='{userlevel}'")

 

 위 코드에서 사용자가 로그인 양식에 입력한 내용은 userlevel에 할당됩니다. 이때 이 값은 SQL 쿼리에 직접 사용되는데, 이용자로부터 입력받은 값을 적절히 검증하거나 쿼리 파라미터화하지 않는다면 SQL 삽입 취약점이 발생합니다.

이어 "1' or userid = 'admin' --"를 살펴보겠습니다:

 

1. 1'은 현재 진행중인 쿼리문을 종료하고 새로운 조건을 추가합니다.

2. or userid = 'admin'은 "users" 테이블에서 userid가 'admin'인 레코드를 선택합니다.

3. --는 SQL 주석 기호로, 뒤의 모든 쿼리를 무시합니다.

위의 입력이 userlevel에 들어갈 경우, SQL 쿼리는 다음과 같이 해석됩니다:

 

select * from users where userlevel='1' or userid = 'admin' --'

 

 위의 쿼리는 "users" 테이블에서 userlevel 값이 '1'인 모든 레코드 또는 userid 값이 'admin'인 레코드를 선택하게 됩니다. 두 번째 조건이 충족되면, FLAG 값을 반환하게 되어 FLAG 값이 도출됩니다.

8. 정렬 순서 및 선택과 관련하여 추가적으로 궁금했던 부분도 질문

 

 

---

 

문제풀이 참고: https://jwcs.tistory.com/37 & ChatGPT