[dreamhack] pathtraversal 문제풀이
작성자 - S1ON| [WEB] pathtraversal 문제풀이 |
Path Traversal(경로 조작) 취약점은 웹 상에서 요청 페이지 및 파일 다운로드 경로를 파라미터로 받아 처리하는 경우, 파일의 경로를 조작하여, 주어진 권한 외 파일에 접근할 수 있는 취약점을 말한다.
문제를 확인해보자.
사용자의 정보를 조회하는 API 서버에서 Path Traversal 취약점을 이용해 /api/flag 플래그를 획득하라고 한다.
문제 페이지에 접속해보자.
파란색 "GET User Info" 링크가 갱장히 매력적으로 보인다. 클릭해보자.
음... userid가 guest인 사용자를 보여주는 것 같다. View 버튼을 눌러보자.
※ 웹 페이지 상에는 userid에 guest로 입력되어있는데 패킷 상에서는 userid가 0으로 표기된다.
/get_info 페이지 소스를 보니 자바스크립트로 guest, admin이 입력에 대해 0,1로 변환하도록 되어있다.
<script>
const users = {
'guest': 0,
'admin': 1
}
function user(evt){
document.getElementById('userid').value = users[document.getElementById('userid').value];
return true;
}
window.onload = function() {
document.getElementById('form').addEventListener('submit', user);
}
</script>
guest 계정으로 View 버튼을 눌럿을 때의 결과 페이지이다.
계정과 레벨, 패스워드를 출력해준다. 아니 이거랑 flag랑 무슨상관인데...?
일단은 guest 계정이 나온이상 admin 계정을 시도하지 않을 수 없다. ㄱㄱ
오...? 이게 되네...?? 근데 이걸로 뭘하는건지는 저언혀 감이 안온다.
소스코드를 열어보자.
#!/usr/bin/python3
from flask import Flask, request, render_template, abort
from functools import wraps
import requests
import os, json
users = {
'0': {
'userid': 'guest',
'level': 1,
'password': 'guest'
},
'1': {
'userid': 'admin',
'level': 9999,
'password': 'admin'
}
}
def internal_api(func):
@wraps(func)
def decorated_view(*args, **kwargs):
if request.remote_addr == '127.0.0.1':
return func(*args, **kwargs)
else:
abort(401)
return decorated_view
app = Flask(__name__)
app.secret_key = os.urandom(32)
API_HOST = 'http://127.0.0.1:8000'
try:
FLAG = open('./flag.txt', 'r').read() # Flag is here!!
except:
FLAG = '[**FLAG**]'
@app.route('/')
def index():
return render_template('index.html')
@app.route('/get_info', methods=['GET', 'POST'])
def get_info():
if request.method == 'GET':
return render_template('get_info.html')
elif request.method == 'POST':
userid = request.form.get('userid', '')
info = requests.get(f'{API_HOST}/api/user/{userid}').text
return render_template('get_info.html', info=info)
@app.route('/api')
@internal_api
def api():
return '/user/<uid>, /flag'
@app.route('/api/user/<uid>')
@internal_api
def get_flag(uid):
try:
info = users[uid]
except:
info = {}
return json.dumps(info)
@app.route('/api/flag')
@internal_api
def flag():
return FLAG
application = app # app.run(host='0.0.0.0', port=8000)
# Dockerfile
# ENTRYPOINT ["uwsgi", "--socket", "0.0.0.0:8000", "--protocol=http", "--threads", "4", "--wsgi-file", "app.py"]
적당히 소스코드 중간 즈음에 get_info 함수를 보게되면
POST 요청으로 userid 파라미터 값을 받아오면 페이지는 /api/user/{userid} 값을 info 변수에 저장한다.
get_flag 함수에서는 /api/user/<uid> 페이지를 요청하면
info 변수에 저장된 uid가 실제 존재하는 user인지 확인해서 json으로 값을 반환하는데
flag 함수에서는 /api/flag 페이지를 요청하면 flag를 반환한다.
여기에서 우리가 조작가능한 변수는 userid 변수이고 이 변수를 조작해서 /api/flag를 요청할 것이다.
기존: /api/user/{userid}
공격: userid=../flag
합체: /api/user/../flag => /api/flag
자바스크립트 단에서 userid 사용자 입력 값을 변환하므로 우리는 프록시 툴을 이용하여
userid 값을 변조해준다.
userid=../flag
요 패킷을 서버로 전송하면...??
플래그가 나온다
문제풀이 끗
'Season 1 > 워게임' 카테고리의 다른 글
| suninatas/웹/2번 문제풀이 (0) | 2021.05.19 |
|---|---|
| [dreamhack] xss-1 문제풀이 (0) | 2021.05.19 |
| suninatas/웹/1번 문제풀이 (0) | 2021.05.19 |
| Old - 12 Write Up (0) | 2021.05.19 |
| Old - 10 Write Up (0) | 2021.05.19 |