11번째 문제!! 가보자고!
[dreamhack] pathtraversal 문제풀이
[WEB] pathtraversal 문제풀이 Path Traversal(경로 조작) 취약점은 웹 상에서 요청 페이지 및 파일 다운로드 경로를 파라미터로 받아 처리하는 경우, 파일의 경로를 조작하여, 주어진 권한 외 파일에 접근
mokpo.tistory.com
드림핵 Server-side(서버 사이드) 취약점 강의 글을 보고오면 더 이해가 빠르다!
nc나 telnet과 같은 네트워크 프로그램을 통해 HTTP Request를 보낼 때는
메소드나 요청 헤더처럼 브라우저에서 조작하지 못하는 데이터도 조작하여 전송할 수 있기 때문에
서버에서는 사용자로부터 받는 모든 입력을 신뢰하지 않도록 해야합니다.
여기서 우리는
- Path Traversal
- URL / File Path를 사용 시 사용자의 입력 데이터에 의해 임의의 경로에 접근하는 취약점입니다.
사용자의 정보를 조회하는 API 서버에서 Path Traversal 취약점을 이용해 /api/flag 플래그를 획득하라고 한다.
문제 페이지에 접속해보자.
출처: https://mokpo.tistory.com/58 [MSS:티스토리]
소스코드를 보자
#!/usr/bin/python3
from flask import Flask, request, render_template, abort
from functools import wraps
import requests
import os, json
users = {
'0': {
'userid': 'guest',
'level': 1,
'password': 'guest'
},
'1': {
'userid': 'admin',
'level': 9999,
'password': 'admin'
}
}
def internal_api(func):
@wraps(func)
def decorated_view(*args, **kwargs):
if request.remote_addr == '127.0.0.1':
return func(*args, **kwargs)
else:
abort(401)
return decorated_view
app = Flask(__name__)
app.secret_key = os.urandom(32)
API_HOST = 'http://127.0.0.1:8000'
try:
FLAG = open('./flag.txt', 'r').read() # Flag is here!!
except:
FLAG = '[**FLAG**]'
@app.route('/')
def index():
return render_template('index.html')
@app.route('/get_info', methods=['GET', 'POST'])
def get_info():
if request.method == 'GET':
return render_template('get_info.html')
elif request.method == 'POST':
userid = request.form.get('userid', '')
info = requests.get(f'{API_HOST}/api/user/{userid}').text
return render_template('get_info.html', info=info)
@app.route('/api')
@internal_api
def api():
return '/user/<uid>, /flag'
@app.route('/api/user/<uid>')
@internal_api
def get_flag(uid):
try:
info = users[uid]
except:
info = {}
return json.dumps(info)
@app.route('/api/flag')
@internal_api
def flag():
return FLAG
application = app # app.run(host='0.0.0.0', port=8000)
# Dockerfile
# ENTRYPOINT ["uwsgi", "--socket", "0.0.0.0:8000", "--protocol=http", "--threads", "4", "--wsgi-file", "app.py"]
적당히 소스코드 중간 즈음에 get_info 함수를 보게되면
POST 요청으로 userid 파라미터 값을 받아오면 페이지는 /api/user/{userid} 값을 info 변수에 저장한다.
@app.route('/get_info', methods=['GET', 'POST'])
def get_info():
if request.method == 'GET':
return render_template('get_info.html')
elif request.method == 'POST':
userid = request.form.get('userid', '')
info = requests.get(f'{API_HOST}/api/user/{userid}').text
return render_template('get_info.html', info=info)
get_flag 함수에서는 /api/user/<uid> 페이지를 요청하면
info 변수에 저장된 uid가 실제 존재하는 user인지 확인해서 json으로 값을 반환하는데
@app.route('/api')
@internal_api
def api():
return '/user/<uid>, /flag'
@app.route('/api/user/<uid>')
@internal_api
def get_flag(uid):
try:
info = users[uid]
except:
info = {}
return json.dumps(info)
@app.route('/api/flag')
@internal_api
def flag():
return FLAG
flag 함수에서는 /api/flag 페이지를 요청하면 flag를 반환한다.
여기에서 우리가 조작가능한 변수는 userid 변수이고 이 변수를 조작해서 /api/flag를 요청할 것이다.
기존: /api/user/{userid}
공격: userid=../flag
합체: /api/user/../flag => /api/flag
자바스크립트 단에서 userid 사용자 입력 값을 변환하므로 우리는 프록시 툴을 이용하여
userid 값을 변조해준다.
userid=../flag
출처: https://mokpo.tistory.com/58 [MSS:티스토리]
https://blog.naver.com/is_king/221400473249
[Burp Suite] 웹 프록시 도구 Burp Suite 간단한 사용 방법
* 설치 방법 : https://blog.naver.com/is_king/221400430722 Paros와 비슷ᕖ...
blog.naver.com
후..그때 사용하다 오류났던 그 burp suite를 다시 해보기로한다 차근차근 해보자!!
크흑...또 막혔다.....쉽지않다..
패킷 전송하는 방법에서 막혔다 ㅠㅜ
2024-12-02
박태식이 죽지않고돌아옴 ㅋㅋㅋㅋ아 ㅋㅋㅋ문제 드디어 풀러왔다
zzzzzzzzzzㅋㅋ3개월만에 풀었다..
'Dreamhack > Dreamhack Wargame (Challenge)' 카테고리의 다른 글
| [13] IT 비전공자 [dreamhack] baby-linux 문제 풀기 (0) | 2024.09.23 |
|---|---|
| [12] IT 비전공자 [dreamhack] shell_basic 문제 풀기 (0) | 2024.09.23 |
| [10] IT 비전공자 [dreamhack] welcome 문제 풀기 (0) | 2024.09.23 |
| [9] IT 비전공자 [dreamhack] 64se64문제 풀기 (0) | 2024.09.23 |
| [8] IT 비전공자 [dreamhack] Exercise: Welcome-Beginners 문제 풀기 (0) | 2024.09.23 |