[SegFault] (Authentication Bypass) - Get Admin

[SegFault] Authentication Bypass (Admin)

Get Admin.

admin 계정으로 접속하자!

문제 파악

• 위의 페이지에 접속하면 아래와 같은 화면이 나온다.
• 알고 있는 계정 :  [ID/PW] : doldol / dol1234

• Burp Suite을 이용하여 사이트 접속 과정의 상태코드(Status code) 확인한다.
  • 302 Found 
  • 200 OK
• 로그인 과정의 구조를 알기 위해, 먼저 알고 있는 정보로 로그인 해본다.

 

• 로그인 과정의 상태코드(Status code) 확인한다.
  • 302 Found : Cookie를 받아옴
  • 200 OK : 정상적인 응답

• 요청(Request)과 응답(Response)를 살펴보자 !

• 요청(Requset)에서 POST 메서드를 이용하여 /2/login.php 경로에 UserId=doldol&Password=dol1234&Submit=Login를 보내는 것을 확인 가능하다.
• 응답(Response)에서 Set-Cookie: loginUser=doldol를 통해, 쿠키에 loginUser가 들어가는 것을 확인할 수 있다. (302 Found) 

요청(Request)에서 Cookie: loginUser=doldol; PHPSESSID=45hs924ul387071rdmravugibm; session=6818eebb-0a66-4e0f-846f-d27946576245.ho6LPTAuTVqgiZwYLUOk37Up6A4 를 확인 가능하다.

---

생각 과정

생각과정
1. 로그인 과정에서 쿠키에 loginUser를 담는구나!
2. 쿠키 인증이구나 ! (쿠키는 클라이언트 정보니까 조작이 가능)
3. 이것을 admin으로 바꿔주자.

---

풀이 과정 (해결 방안)

1. Intercept On 으로 바꿔준다.

2. 재요청(Request) : 새로 고침(페이지 리로딩)하여 페이지를 재요청 해준다.

3. Intercept 에서 loginUser=admin 로 고쳐준 후 Forward 해준다.

4. 브라우저 창 및 히스토리(HTTP history)를 확인 해보자 !

• Edited 에 체크된 상태(요청이 수정된 상태)의 응답임을 확인 가능하다.

5. 화면에 Congrat!!! Flag 를 확인할 수 있다.

---

취약점에 관한 고찰

본 문제에서는 쿠키에 파라미터로 loginUser 와 같은 권한 관련 값이 존재하는 것이 문제였다.
해당 취약점은 인증 취약점으로서, 쿠키 변조를 통해 관리자 권한이 취득 가능한 경우이다.

인증 취약점의 대표 케이스로서 Cookie를 통한 인증, 즉 클라이언트 측 정보(파라미터)를 통해서 인증하는 경우에는 문제가 되는 것이다.
클라이언트 측 정보를 신뢰해서 인증을하는 경우는 비유하자면, 자물쇠와 함께 열쇠를 걸어둔 것이나 마찬가지인 것이다.

인증에 있어서 쿠키의 사용은 탈취 및 변조에 용이하기 때문에 사용하지 않는 것이 좋으며, 사용하더라도 Token을 비롯한 난독화를 통하여 어떤 정보가 담겨있는지 알 수 없도록 해야할 것이다.

---

질문 환영, 수정 및 보완에 대한 지적 환영