워게임/dreamhack

[dreamhack] pathtraversal 문제풀이

  • -
[WEB] pathtraversal 문제풀이

Path Traversal(경로 조작) 취약점은 웹 상에서 요청 페이지 및 파일 다운로드 경로를 파라미터로 받아 처리하는 경우, 파일의 경로를 조작하여, 주어진 권한 외 파일에 접근할 수 있는 취약점을 말한다.

 

문제를 확인해보자.

 

 

사용자의 정보를 조회하는 API 서버에서 Path Traversal 취약점을 이용해 /api/flag 플래그를 획득하라고 한다.

문제 페이지에 접속해보자.

 

 

파란색 "GET User Info" 링크가 갱장히 매력적으로 보인다. 클릭해보자.

 

 

음... userid가 guest인 사용자를 보여주는 것 같다. View 버튼을 눌러보자.

 

 

※ 웹 페이지 상에는 userid에 guest로 입력되어있는데 패킷 상에서는 userid가 0으로 표기된다.

/get_info 페이지 소스를 보니 자바스크립트로 guest, admin이 입력에 대해 0,1로 변환하도록 되어있다.

 

<script>
  const users = {
    'guest': 0,
    'admin': 1
  }
  function user(evt){
  	document.getElementById('userid').value = users[document.getElementById('userid').value];
    return true;
  }
  window.onload = function() {
    document.getElementById('form').addEventListener('submit', user);
  }
</script>

 

guest 계정으로 View 버튼을 눌럿을 때의 결과 페이지이다.

 

 

계정과 레벨, 패스워드를 출력해준다. 아니 이거랑 flag랑 무슨상관인데...?

일단은 guest 계정이 나온이상 admin 계정을 시도하지 않을 수 없다. ㄱㄱ

 

 

오...? 이게 되네...?? 근데 이걸로 뭘하는건지는 저언혀 감이 안온다.

소스코드를 열어보자.

 

#!/usr/bin/python3
from flask import Flask, request, render_template, abort
from functools import wraps
import requests
import os, json

users = {
    '0': {
        'userid': 'guest',
        'level': 1,
        'password': 'guest'
    },
    '1': {
        'userid': 'admin',
        'level': 9999,
        'password': 'admin'
    }
}

def internal_api(func):
    @wraps(func)
    def decorated_view(*args, **kwargs):
        if request.remote_addr == '127.0.0.1':
            return func(*args, **kwargs)
        else:
            abort(401)
    return decorated_view

app = Flask(__name__)
app.secret_key = os.urandom(32)
API_HOST = 'http://127.0.0.1:8000'

try:
    FLAG = open('./flag.txt', 'r').read() # Flag is here!!
except:
    FLAG = '[**FLAG**]'

@app.route('/')
def index():
    return render_template('index.html')

@app.route('/get_info', methods=['GET', 'POST'])
def get_info():
    if request.method == 'GET':
        return render_template('get_info.html')
    elif request.method == 'POST':
        userid = request.form.get('userid', '')
        info = requests.get(f'{API_HOST}/api/user/{userid}').text
        return render_template('get_info.html', info=info)

@app.route('/api')
@internal_api
def api():
    return '/user/<uid>, /flag'

@app.route('/api/user/<uid>')
@internal_api
def get_flag(uid):
    try:
        info = users[uid]
    except:
        info = {}
    return json.dumps(info)

@app.route('/api/flag')
@internal_api
def flag():
    return FLAG

application = app # app.run(host='0.0.0.0', port=8000)
# Dockerfile
#     ENTRYPOINT ["uwsgi", "--socket", "0.0.0.0:8000", "--protocol=http", "--threads", "4", "--wsgi-file", "app.py"]

 

적당히 소스코드 중간 즈음에 get_info 함수를 보게되면 

POST 요청으로 userid 파라미터 값을 받아오면 페이지는 /api/user/{userid} 값을 info 변수에 저장한다.

 

get_flag 함수에서는 /api/user/<uid> 페이지를 요청하면

info 변수에 저장된 uid가 실제 존재하는 user인지 확인해서 json으로 값을 반환하는데

 

flag 함수에서는 /api/flag 페이지를 요청하면 flag를 반환한다.

 

여기에서 우리가 조작가능한 변수는 userid 변수이고 이 변수를 조작해서 /api/flag를 요청할 것이다.

기존: /api/user/{userid}

공격: userid=../flag

합체: /api/user/../flag => /api/flag

 

자바스크립트 단에서 userid 사용자 입력 값을 변환하므로 우리는 프록시 툴을 이용하여 

userid 값을 변조해준다.

userid=../flag

 

 

요 패킷을 서버로 전송하면...??

 

 

플래그가 나온다

 

문제풀이 끗

 

Contents

포스팅 주소를 복사했습니다

이 글이 도움이 되었다면 공감 부탁드립니다.