[Dreamhack] simple_sqli (SQL Injection)

#!/usr/bin/python3
from flask import Flask, request, render_template, g
import sqlite3
import os
import binascii

app = Flask(__name__)
app.secret_key = os.urandom(32)

try:
    FLAG = open('./flag.txt', 'r').read()
except:
    FLAG = '[**FLAG**]'

DATABASE = "database.db"
if os.path.exists(DATABASE) == False:
    db = sqlite3.connect(DATABASE)
    db.execute('create table users(userid char(100), userpassword char(100));')
    db.execute(f'insert into users(userid, userpassword) values ("guest", "guest"), ("admin", "{binascii.hexlify(os.urandom(16)).decode("utf8")}");')
    db.commit()
    db.close()

def get_db():
    db = getattr(g, '_database', None)
    if db is None:
        db = g._database = sqlite3.connect(DATABASE)
    db.row_factory = sqlite3.Row
    return db

def query_db(query, one=True):
    cur = get_db().execute(query)
    rv = cur.fetchall()
    cur.close()
    return (rv[0] if rv else None) if one else rv

@app.teardown_appcontext
def close_connection(exception):
    db = getattr(g, '_database', None)
    if db is not None:
        db.close()

@app.route('/')
def index():
    return render_template('index.html')

@app.route('/login', methods=['GET', 'POST'])
def login():
    if request.method == 'GET':
        return render_template('login.html')
    else:
        userid = request.form.get('userid')
        userpassword = request.form.get('userpassword')
        res = query_db(f'select * from users where userid="{userid}" and userpassword="{userpassword}"')
        if res:
            userid = res[0]
            if userid == 'admin':
                return f'hello {userid} flag is {FLAG}'
            return f'<script>alert("hello {userid}");history.go(-1);</script>'
        return '<script>alert("wrong");history.go(-1);</script>'

app.run(host='0.0.0.0', port=8000)

• login 함수에서 "을 기준으로 문자열을 구분하는 것을 알 수 있다.
• userid == admin으로 로그인하면 FLAG를 출력해준다.
• 따라서 userpassword를 모르는 상태에서 userid인 admin만으로 SQL Injection을 통해 FLAG를 얻어야 한다.

 

• where 구문을 우회하여 쿼리 조건을 무력화하는 여러 방법이 있다. 

select * from users where userid="admin"--" and userpassword="{userpassword}"

• userid로 admin"--을 주면, ""으로 문자열을 구분하므로 admin"에서 문자열을 받는다.  --은 MS SQL 서버의 주석으로 --뒤는 모두 주석처리된다.
• 따라서 where 문에서 userpassword 조건에 대한 쿼리는 무력화할 수 있다.

 

select * from users where userid="admin" and userpassword="1234" or "1"="1""

select * from users where userid="admin" and userpassword="1234" or "1"="1"

• 위의 경우에서는, userpassword에서 1234"으로 문자열을 주고, or로 조건을 추가하여 앞의 조건이나 뒤의 조건 둘 중 하나만 만족해도 통과가 된다. "1"="1"은 항상 참이므로, userpassword를 알지 않아도 통과할 수 있게 된다.

 

• Fiddler를 사용하여 Body의 userid나 userpassword를 조작하여 패킷을 보낸 후 응답으로 FLAG를 얻을 수 있었다.
• (굳이 프록시 툴로 패킷을 잡지 않아도 된다.)