워게임-pathtraversal

풀기 전에 문제를 간단하게 읽는다.

 

path traversal의 취약점을 파악해

/api/flag에 있는 플래그를 얻는 문제

 

 

#!/usr/bin/python3
from flask import Flask, request, render_template, abort
from functools import wraps
import requests
import os, json

users = {
    '0': {
        'userid': 'guest',
        'level': 1,
        'password': 'guest'
    },
    '1': {
        'userid': 'admin',
        'level': 9999,
        'password': 'admin'
    }
}

def internal_api(func):
    @wraps(func)
    def decorated_view(*args, **kwargs):
        if request.remote_addr == '127.0.0.1':
            return func(*args, **kwargs)
        else:
            abort(401)
    return decorated_view

app = Flask(__name__)
app.secret_key = os.urandom(32)
API_HOST = 'http://127.0.0.1:8000'

try:
    FLAG = open('./flag.txt', 'r').read() # Flag is here!!
except:
    FLAG = '[**FLAG**]'

@app.route('/')
def index():
    return render_template('index.html')

@app.route('/get_info', methods=['GET', 'POST'])
def get_info():
    if request.method == 'GET':
        return render_template('get_info.html')
    elif request.method == 'POST':
        userid = request.form.get('userid', '')
        info = requests.get(f'{API_HOST}/api/user/{userid}').text
        return render_template('get_info.html', info=info)

@app.route('/api')
@internal_api
def api():
    return '/user/<uid>, /flag'

@app.route('/api/user/<uid>')
@internal_api
def get_flag(uid):
    try:
        info = users[uid]
    except:
        info = {}
    return json.dumps(info)

@app.route('/api/flag')
@internal_api
def flag():
    return FLAG

application = app # app.run(host='0.0.0.0', port=8000)
# Dockerfile
#     ENTRYPOINT ["uwsgi", "--socket", "0.0.0.0:8000", "--protocol=http", "--threads", "4", "--wsgi-file", "app.py"]

문제 필요한 코드

 

 

문제 링크로 들어가면 뜨는 접속 페이지

 

 

 

Get User Info 창으로 들어가 

userid에 guest를 입력 시

{"userid": "guest", "level": 1, "password": "guest"}가 뜸

 

코드 7~18행을 보면 다음과 같이 뜨는 이유를 알 수 있음

 

코드 48행을 보면 userid에 입력한 값은

 info = requests.get(f'{API_HOST}/api/user/{userid}').text

다음과 같이 가공됨

 

플래그는 api/flag에 위치하기 때문에

../flag 입력이 필요

 

 

 

userid 입력 창에 ../flag를 입력해도

flag를 얻을 수 없다.

 

 

버프 스위트를 이용해 문제의 url을 복사해

버프 스위트 사이트에서 이동한다.

 

 

이동한 사이트에서 userid창에

../flag를 다시 입력한다.

 

 

HTTP History에서 해당 요청을 찾는다.

 

request에 페이로드 된 값을 보면

userid는 undefined로 정의되고 있다.

 

이 request값을 repeater로 보낸다.

 

 

 

 

repeater로 이동한 후 

ueserid 값을 ../flag로 바꿔준다.

 

그 값을 send한 후 검색 창에 DH를 치면

다음과 같이 플래그를 얻을 수 있다.

 

정답: DH{8a33bb6fe0a37522bdc8adb65116b2d4}