본문 바로가기
웹 해킹/드림핵

[드림핵] pathtraversal 풀이

by jwcs 2023. 5. 30.
728x90

https://dreamhack.io/wargame/challenges/12/?mode=description&writeup_id 

 

pathtraversal

사용자의 정보를 조회하는 API 서버입니다. Path Traversal 취약점을 이용해 /api/flag에 있는 플래그를 획득하세요! Reference Server-side Basic

dreamhack.io

 

상대 경로를 이용한 문제이다.

 

/

첫 화면이다. Get User Info로 가보자.

 

/get_info

여기서 guest admin에 대한 정보를 볼 수 있는 것 같다.

 

 

admin으로 보냈을 때의 출력 화면이다. 잘 모르겠으니 코드를 살펴보자.

 

#!/usr/bin/python3
from flask import Flask, request, render_template, abort
from functools import wraps
import requests
import os, json

users = {
    '0': {
        'userid': 'guest',
        'level': 1,
        'password': 'guest'
    },
    '1': {
        'userid': 'admin',
        'level': 9999,
        'password': 'admin'
    }
}

def internal_api(func):
    @wraps(func)
    def decorated_view(*args, **kwargs):
        if request.remote_addr == '127.0.0.1':
            return func(*args, **kwargs)
        else:
            abort(401)
    return decorated_view

app = Flask(__name__)
app.secret_key = os.urandom(32)
API_HOST = 'http://127.0.0.1:8000'

try:
    FLAG = open('./flag.txt', 'r').read() # Flag is here!!
except:
    FLAG = '[**FLAG**]'

@app.route('/')
def index():
    return render_template('index.html')

@app.route('/get_info', methods=['GET', 'POST'])
def get_info():
    if request.method == 'GET':
        return render_template('get_info.html')
    elif request.method == 'POST':
        userid = request.form.get('userid', '')
        info = requests.get(f'{API_HOST}/api/user/{userid}').text
        return render_template('get_info.html', info=info)

@app.route('/api')
@internal_api
def api():
    return '/user/<uid>, /flag'

@app.route('/api/user/<uid>')
@internal_api
def get_flag(uid):
    try:
        info = users[uid]
    except:
        info = {}
    return json.dumps(info)

@app.route('/api/flag')
@internal_api
def flag():
    return FLAG

application = app # app.run(host='0.0.0.0', port=8000)
# Dockerfile
#     ENTRYPOINT ["uwsgi", "--socket", "0.0.0.0:8000", "--protocol=http", "--threads", "4", "--wsgi-file", "app.py"]

코드 내용이다.

 

@app.route('/get_info', methods=['GET', 'POST'])
def get_info():
    if request.method == 'GET':
        return render_template('get_info.html')
    elif request.method == 'POST':
        userid = request.form.get('userid', '')
        info = requests.get(f'{API_HOST}/api/user/{userid}').text
        return render_template('get_info.html', info=info)

 

이 부분을 주목해보자. 입력한 userid를 /api/user에서 찾아서 출력해준다. 

 

@app.route('/api/user/<uid>')
@internal_api
def get_flag(uid):
    try:
        info = users[uid]
    except:
        info = {}
    return json.dumps(info)

@app.route('/api/flag')
@internal_api
def flag():
    return FLAG

 

/user/uid를 입력받아 이것을 json파일로 변환해 출력한다. 또다른 하나는 /flag 경로로 가면 FLAG를 출력한다.

 

{API_HOST}/api/user/{userid}

위의 get_info 함수에서 userid를 상대경로로 입력해보자.

원래 입력 : /api/user/admin

상대 경로로 ../flag 입력

/api/user/../flag

=/api/flag 이다. 따라서 FLAG를 리턴해주는 것을 기대해볼 수 있겠다.

 

하지만 이렇게 나온다. 잠깐이었지만 userid 입력창에 입력한 내용이 바뀌어서 넘어가는 것을 보았다. 소스코드를 확인해보자.

 

guest 와 admin의 키 밸류 쌍을 볼 수 있다. 여기서 admin을 입력하면 1로 바뀌어서 전달되는 것이다.

 

users = {
    '0': {
        'userid': 'guest',
        'level': 1,
        'password': 'guest'
    },
    '1': {
        'userid': 'admin',
        'level': 9999,
        'password': 'admin'
    }
}

그렇게 0 혹은 1의 값을 전달하면 users에서 키 밸류 쌍을 찾아 출력해주는 것이었다. 그렇다면 ../flag는 어떻게 처리될까?

 

버프 스위트를 통해 패킷을 까본 것이다. guest 혹은 admin의 값이 아니기 때문에 undefined로 바뀌어서 전달된다. 여기서 ../flag로 바꿔주자.

 

짜자잔

728x90
반응형

'웹 해킹 > 드림핵' 카테고리의 다른 글

[드림핵] phpreg 풀이  (0) 2023.06.30
[드림핵] Flying Chars 풀이  (0) 2023.05.30
[드림핵] XSS Filtering Bypass  (0) 2023.05.15
[드림핵] sql injection bypass WAF  (0) 2023.05.15
[드림핵]error based sql injection 풀이  (0) 2023.05.10