[Dreamhack] 드림핵 웹해킹: simple-ssti

https://dreamhack.io/wargame/challenges/39

simple-ssti

 

문제설명

존재하지 않는 페이지 방문시 404 에러를 출력하는 서비스입니다.
SSTI 취약점을 이용해 플래그를 획득하세요. 플래그는 flag.txt, FLAG 변수에 있습니다.

 

풀이

SSTI에 대해서 알고 있어야하는 문제. 또 Flask에 대한 배경 지식도 필요하다

필자는 Flask를 이용해본 적이 있어서 (정말 간단한 블로그 자동 목차 생성기 프로젝트를 만들기 위해 사용했었다) 어느정도 구조와 문법을 아는 상태지만 잘 모르는 경우 아래 친절하게 설명해놓은 글을 참고하면 좋을 듯 하다

 

반응형

웹 템플릿 엔진 기반의 SSTI 취약점 분석

 

따로 기능조차 없는데, 그냥 경로를 입력하면 그 경로를 출력해준다

 

http://host3.dreamhack.games:19321/안녕

 

경로에 있는 문자열을 그대로 출력하고 있으니 이제 연산을 해보자

{{6+6}} 을 넣어서 연산이 된다면 Jinja(flask에서 사용하는 템플릿 엔진)니까 이후 작업이 가능하다

 

http://host3.dreamhack.games:19321/{{6+6}}

 

아주 잘된다

 

http://host3.dreamhack.games:19321/{{config}}

 

http://host3.dreamhack.games:19321/{{config}}

를 입력했더니 config 정보가 쭉 나오고 이 안에 있는 secret_key 에 플래그가 포함되어있다

 

#!/usr/bin/python3
from flask import Flask, request, render_template, render_template_string, make_response, redirect, url_for
import socket

app = Flask(__name__)

try:
    FLAG = open('./flag.txt', 'r').read()
except:
    FLAG = '[**FLAG**]'

app.secret_key = FLAG


@app.route('/')
def index():
    return render_template('index.html')

@app.errorhandler(404)
def Error404(e):
    template = '''
    <div class="center">
        <h1>Page Not Found.</h1>
        <h3>%s</h3>
    </div>
''' % (request.path)
    return render_template_string(template), 404

app.run(host='0.0.0.0', port=8000)

 

문제 코드를 보면 FLAG가 app.secret_key 에 포함되어있기 때문에 config에서 secret_key 를 찾아보는 방식으로 해도 가능하다