close
프로필 배경
프로필 로고

numbbvi


DVWA · 2024. 11. 20. fullscreen 넓게보기

DVWA | Insecure CAPTCHA | medium

728x90

Insecure CAPTCHA

  • CAPTCHA의 보안 취약점을 이용해 자동화된 요청을 허용하는 공격
  • CAPTCHA: Completely Automated Public Turing test to tell Computers and Humans Apart. 컴퓨터와 인간을 구별하기 위한 자동화된 테스트

ㅤDVWA 환경 설정으로 CAPTCHA API key를 설정 안 해주면 위와 같이 보인다.

https://2jw2534.tistory.com/32

 

[DVWA] - Insecure CAPTCHA 설정

Insecure CAPTCHA 초기 설정 reCAPTCHA key가 Missing되어 있으므로 키를 받급받아야한다. www.google.com/recaptcha/admin 로그인 - Google 계정 이메일 또는 휴대전화 accounts.google.com 위 사이트에서 키를 발급 받을 수

2jw2534.tistory.com

위 블로그를 통해 CAPTCHA 를 설정해주었다.

 

DVWA Insecure CAPTCHA 페이지는 위 사진과 같이 패스워드를 변경하는 기능사람과 로봇을 구별하는 CAPTCHA 기능이 있다.

 

 

<?php

if( isset( $_POST[ 'Change' ] ) && ( $_POST[ 'step' ] == '1' ) ) {
    // Hide the CAPTCHA form
    $hide_form = true;

    // Get input
    $pass_new  = $_POST[ 'password_new' ];
    $pass_conf = $_POST[ 'password_conf' ];

    // Check CAPTCHA from 3rd party
    $resp = recaptcha_check_answer(
        $_DVWA[ 'recaptcha_private_key' ],
        $_POST['g-recaptcha-response']
    );

    // Did the CAPTCHA fail?
    if( !$resp ) {
        // What happens when the CAPTCHA was entered incorrectly
        $html     .= "<pre><br />The CAPTCHA was incorrect. Please try again.</pre>";
        $hide_form = false;
        return;
    }
    else {
        // CAPTCHA was correct. Do both new passwords match?
        if( $pass_new == $pass_conf ) {
            // Show next stage for the user
            $html .= "
                <pre><br />You passed the CAPTCHA! Click the button to confirm your changes.<br /></pre>
                <form action=\"#\" method=\"POST\">
                    <input type=\"hidden\" name=\"step\" value=\"2\" />
                    <input type=\"hidden\" name=\"password_new\" value=\"{$pass_new}\" />
                    <input type=\"hidden\" name=\"password_conf\" value=\"{$pass_conf}\" />
                    <input type=\"hidden\" name=\"passed_captcha\" value=\"true\" />
                    <input type=\"submit\" name=\"Change\" value=\"Change\" />
                </form>";
        }
        else {
            // Both new passwords do not match.
            $html     .= "<pre>Both passwords must match.</pre>";
            $hide_form = false;
        }
    }
}

if( isset( $_POST[ 'Change' ] ) && ( $_POST[ 'step' ] == '2' ) ) {
    // Hide the CAPTCHA form
    $hide_form = true;

    // Get input
    $pass_new  = $_POST[ 'password_new' ];
    $pass_conf = $_POST[ 'password_conf' ];

    // Check to see if they did stage 1
    if( !$_POST[ 'passed_captcha' ] ) {
        $html     .= "<pre><br />You have not passed the CAPTCHA.</pre>";
        $hide_form = false;
        return;
    }

    // Check to see if both password match
    if( $pass_new == $pass_conf ) {
        // They do!
        $pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
        $pass_new = md5( $pass_new );

        // Update database
        $insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
        $result = mysqli_query($GLOBALS["___mysqli_ston"],  $insert ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

        // Feedback for the end user
        $html .= "<pre>Password Changed.</pre>";
    }
    else {
        // Issue with the passwords matching
        $html .= "<pre>Passwords did not match.</pre>";
        $hide_form = false;
    }

    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

?>

DVWA 깃허브 코드를 보니, 사용자가 CAPTCHA를 클릭하고 새로운 비밀번호를 설정하려고 하면, 비밀번호와 CAPTCHA가 각각 맞는지 확인하고 있다.
CAPTCHA가 올바르면 사용자의 비밀번호를 변경하도록 되어있고, 새로운 비밀번호를 데이터베이스에 업데이트 하고 있다.
step=1CAPTCHA 인증을 의미하고, step=2비밀번호 변경을 하고 있다.

 

<form action=\"#\" method=\"POST\">
    <input type=\"hidden\" name=\"step\" value=\"2\" />
    <input type=\"hidden\" name=\"password_new\" value=\"{$pass_new}\" />
    <input type=\"hidden\" name=\"password_conf\" value=\"{$pass_conf}\" />
    <input type=\"hidden\" name=\"passed_captcha\" value=\"true\" />
    <input type=\"submit\" name=\"Change\" value=\"Change\" />
</form>";

특히 이 코드를 보면 새로운 비밀번호 입력 값들이 같은지 확인하고, 같으면 특정 폼으로 넘어가는데 이때 input 태그가 모두 hidden 타입으로 지정되어있다.

 

if( !$_POST[ 'passed_captcha' ] ) {
        $html     .= "<pre><br />You have not passed the CAPTCHA.</pre>";
        $hide_form = false;
        return;
    }

그리고 step2 비밀번호를 변경하는 코드를 보면 step1로부터 passed_captcha을 받고 있는 듯하다. step1을 제대로 거치지 않은 상태로 passed_captchatrue로 만들면 CAPTCHA 인증없이 비밀번호를 바꿀 수 있을 것이라 생각했다.
<input type=\"hidden\" name=\"passed_captcha\" value=\"true\" />
hidden 타입으로 설정된 이 passed_captcha를 보면 값을 true로 설정하게끔 되어있다.

I'm not a robot을 체크하지 않고 Change 버튼을 누르면 CAPTCHA 응답이 없는 패킷이 캡처될 것이고, 이 패킷의 데이터를 수정하면 바꾸면 인증 우회를 할 수 있을 것이라 생각했다.

따라서 CAPTCHA 인증을 하지 않은 상태로 패킷을 캡처해봤다.
CAPTCHA 인증을 하지 않아 response가 비어있는 패킷(step1)이 캡처되었다.

이 패킷의 데이터를 step=1 → step=2, g-recaptcha-response= → passed_captcha=true 로 바꿔주었다.

Forward 해주면 CAPTCHA 인증없이 비밀번호 변경에 성공했다.

728x90
저작자표시 비영리 변경금지 (새창열림)

'DVWA' 카테고리의 다른 글

DVWA | Blind SQL Injection | medium  (0) 2024.11.21
DVWA | SQL Injection | medium  (0) 2024.11.21
DVWA | File Upload | medium  (0) 2024.11.20
DVWA | File Inclusion | medium  (0) 2024.11.20
DVWA | CSRF | medium  (2) 2024.11.19
DVWA 관련 글
더 보기

티스토리툴바