proxy-1

proxy란?

서버와 클라이언트 사이에 중계기로서 대리로 통신을 수행하는 것을 가리켜 '프록시', 그 중계 기능을 하는 것을 프록시 서버라고 부른다.

우리가 /socket 페이지를 통해 /admin 페이지와 통신을 할 수 있기에 proxy 문제라고 명명한거 같다.

@app.route('/socket', methods=['GET', 'POST'])
def login():
    if request.method == 'GET':
        return render_template('socket.html')
    elif request.method == 'POST':
        host = request.form.get('host')
        port = request.form.get('port', type=int)
        data = request.form.get('data')

        retData = ""
        try:
            with socket.socket(socket.AF_INET, socket.SOCK_STREAM) as s:
                s.settimeout(3)
                s.connect((host, port))
                s.sendall(data.encode())
                while True:
                    tmpData = s.recv(1024)
                    retData += tmpData.decode()
                    if not tmpData: break
            
        except Exception as e:
            return render_template('socket_result.html', data=e)
        
        return render_template('socket_result.html', data=retData)

app.run(host='0.0.0.0', port=8000)

/socket 페이지에서 host에 127.0.0.1, port에 8000을 입력하고 현재 실행중인 서버의 /admin 페이지에 데이터를 전송할 수 있다. host에 127.0.0.1을 입력하는 이유는 login 함수에 s.connect((host,port))에 있듯이 서버 자신에게 연결하는 것이다. 또한 서버가 8000번 포트에서 실행되고 있기에 port도 8000을 입력하는 것이다. 이어서 s.sendall(data)를 통해 Data에 입력한 값을 보내는데 /admin 페이지는 POST 방식으로 입력을 받기에 이때 POST 형식의 HTTP 메시지를 입력하는 것이다.

@app.route('/admin', methods=['POST'])
def admin():
    if request.remote_addr != '127.0.0.1':
        return 'Only localhost'

    if request.headers.get('User-Agent') != 'Admin Browser':
        return 'Only Admin Browser'

    if request.headers.get('DreamhackUser') != 'admin':
        return 'Only Admin'

    if request.cookies.get('admin') != 'true':
        return 'Admin Cookie'

    if request.form.get('userid') != 'admin':
        return 'Admin id'

    return FLAG

Data 전체 내용은 다음과 같다.

POST /admin HTTP/1.1
User-Agent: Admin Browser
DreamhackUser: admin
Cookie:admin=true
Content-Length: 12
Content-Type: application/x-www-form-urlencoded

userid=admin

 

remote_addr 이 127.0.0.1이어야 하는데 접속 ip가 127.0.0.1 이어야한다. 이건 이 서버를 실행한 admin만이 가능하다. admin이 /socket 페이지에서 login 함수를 통해 s.connect()를 실행한다면 remote_addr은 127.0.0.1이 된다.

헤더의 User-Agent 가 Admin Browser이 되어야 한다.

헤더의 DreamhackUser이 admin이 되어야 한다.

cookie의 admin에 해당하는 값이 true이어야 한다.

post로 보내는 데이터의 userid가 admin이어야 한다.

그리고 POST 방식으로 보낼 땐 Content-Type와 Content-Length가 필요하다.

application/x-www-form-urlencoded는 보내는 데이터를 URL 인코딩 후에 웹 서버로 보내는 방식이다. 데이터를 key=value&key=value 형식으로 표현한다. 현재 userid=admin으로 보내고 있다.

Content-Length는 데이터의 길이이다. userid=admin의 길이는 12다.

참고로 헤더의 끝엔 엔터가 두번 필요하다. 즉 헤더와 데이터 사이에 빈 줄이 하나 필요하다.
이건 HTTP POST 방식의 약속이다.

이 모든건 /socket 페이지에서 아무 값이나 넣고 전송 후 Burp Suite로 메시지를 잡아서 들여다보면 직접 볼 수 있다.

입력값을 보낸 후 결과값은 다음과 같다.

HTTP/1.0 200 OK
Content-Type: text/html; charset=utf-8
Content-Length: 36
Server: Werkzeug/1.0.1 Python/3.8.2
Date: Wed, 15 Feb 2023 07:57:59 GMT

DH{9bb7177b6267ff7288e24e06d8dd6df5}