https://dreamhack.io/wargame/challenges/12/
pathtraversal
사용자의 정보를 조회하는 API 서버입니다. Path Traversal 취약점을 이용해 /api/flag에 있는 플래그를 획득하세요! Reference Server-side Basic
dreamhack.io
source
#!/usr/bin/python3
from flask import Flask, request, render_template, abort
from functools import wraps
import requests
import os, json
users = {
'0': {
'userid': 'guest',
'level': 1,
'password': 'guest'
},
'1': {
'userid': 'admin',
'level': 9999,
'password': 'admin'
}
}
def internal_api(func):
@wraps(func)
def decorated_view(*args, **kwargs):
if request.remote_addr == '127.0.0.1':
return func(*args, **kwargs)
else:
abort(401)
return decorated_view
app = Flask(__name__)
app.secret_key = os.urandom(32)
API_HOST = 'http://127.0.0.1:8000'
try:
FLAG = open('./flag.txt', 'r').read() # Flag is here!!
except:
FLAG = '[**FLAG**]'
@app.route('/')
def index():
return render_template('index.html')
@app.route('/get_info', methods=['GET', 'POST'])
def get_info():
if request.method == 'GET':
return render_template('get_info.html')
elif request.method == 'POST':
userid = request.form.get('userid', '')
info = requests.get(f'{API_HOST}/api/user/{userid}').text
return render_template('get_info.html', info=info)
@app.route('/api')
@internal_api
def api():
return '/user/<uid>, /flag'
@app.route('/api/user/<uid>')
@internal_api
def get_flag(uid):
try:
info = users[uid]
except:
info = {}
return json.dumps(info)
@app.route('/api/flag')
@internal_api
def flag():
return FLAG
application = app # app.run(host='0.0.0.0', port=8000)
# Dockerfile
# ENTRYPOINT ["uwsgi", "--socket", "0.0.0.0:8000", "--protocol=http", "--threads", "4", "--wsgi-file", "app.py"]
풀이
메인화면
다른 navbar는 동작하지 않고 Get User Info만 동작
userId에 guest를 입력하니 찰나지만 0으로 변경되어 들어가는 것이 보였다.
js 즉 클라이언트 단에서 입력한 userId가 변경되어 0이 되었고, server side의 users 객체의 0 인덱스인 guest에 대한 정보를 끌고 오는 것이었다.
그렇다면 admin을 입력하면 1이 될 것이고, users 객체의 1 인덱스인 admin에 대한 정보를 끌고 올 것이다.
소스 차원에서 보면 api/flag에 접근해야 한다.
따라서 ../flag를 입력하여 api/user/../flag로 api/flag에 접근할 수 있겠지만 ../flag는 클라이언트 단의 user에 저장이 안되어 있으므로 undefined이다.
콘솔에서 user를 출력해본다.
역시 이런 이벤트가 걸려있군.
클라이언트 단 users 객체에 정보가 저장된 듯 하니 users로 출력해본다.
역시나였다.
따라서 인풋을 통해 뭔가를 입력했을 때, 그 값이 users 객체의 키가 되어 ../flag를 return하도록 하면 된다.
flag라는 키에 ../flag를 심었다.
이제 flag를 통해 접근해보자
성공! flag => ../flag가 되어 userId로 들어갔다.
'Security' 카테고리의 다른 글
| [Webhacking] [client-side advanced] CSP (0) | 2021.10.22 |
|---|---|
| [Webhacking] [client-side advanced] XSS (1) | 2021.10.05 |
| [wargame] devtools-sources (0) | 2021.10.04 |
| [Webhacking] Misconfiguration (0) | 2021.10.01 |
| [wargame] image-storage (0) | 2021.09.30 |
