#!/usr/bin/python3 from flask import Flask, request, render_template, make_response, redirect, url_for app = Flask(__name__) try: FLAG = open('./flag.txt', 'r').read() except: FLAG = '[**FLAG**]' users = { 'guest': 'guest', 'admin': FLAG } @app.route('/') def index(): username = request.cookies.get('username', None) if username: return render_template('index.html', text=f'Hello {username}, {"fla..

#!/usr/bin/python3 from flask import Flask, request, render_template, make_response, redirect, url_for app = Flask(__name__) try: FLAG = open('./flag.txt', 'r').read() except: FLAG = '[**FLAG**]' users = { 'guest': 'guest', 'user': 'user1234', 'admin': FLAG } # this is our session storage session_storage = { } @app.route('/') def index(): session_id = request.cookies.get('sessionid', None) try: ..

파일들을 뒤져 나가면서 개발자 도구의 검색기능을 활용해 나간다면 플래그를 손 쉽게 구할 수 있다. 그렇게 index.html 에서 검색기능을 활용해 플래그를 구했다.

문제의 소스코드는 다음과 같다. #!/usr/bin/python3 from flask import Flask, request, render_template, g import sqlite3 import os import binascii app = Flask(__name__) app.secret_key = os.urandom(32) try: FLAG = open('./flag.txt', 'r').read() except: FLAG = '[**FLAG**]' DATABASE = "database.db" if os.path.exists(DATABASE) == False: db = sqlite3.connect(DATABASE) db.execute('create table users(userid char(100),..

문제는 다음과 같다. $query = "select id from prob_gremlin where id='{$_GET[id]}' and pw='{$_GET[pw]}'"; 부분을 통해 id 와 pw 를 받아온다. 하지만 if($result['id']) solve("gremlin"); 코드를 통해 id만 알면 문제를 풀 수 있다는 걸 ㅡ이미한다. 해결방안은 정말 간단하다. id?=admin&pw='--' 를 입력하여 전송하면 된다. 이를 입력하면 되면 $query = "select id from prob_gremlin where id='admin' and pw=''--''"; 로 SQL 문법이 바뀌어 주석처리가 변경되기에 문제를 풀 수 있는 것이다. 성공!

문제 화면이다. 소스코드는 다음과 같다. confirm html Thanks for signing up, you will be redirected soon... level.py class MainPage(webapp.RequestHandler): def render_template(self, filename, context={}): path = os.path.join(os.path.dirname(__file__), filename) self.response.out.write(template.render(path, context)) def get(self): # Disable the reflected XSS filter for demonstration purposes self.response.headers..