[WebHacking][DreamHack][WarGame] file-download-1 Write-Up

marceline·2024년 6월 5일
0

[WebHacking]

목록 보기
10/10

Beginner) file-download-1

문제설명

https://dreamhack.io/wargame/challenges/37

File Download 취약점이 존재하는 웹 서비스입니다.
flag.py를 다운로드 받으면 플래그를 획득할 수 있습니다.

소스코드

#!/usr/bin/env python3
import os
import shutil

from flask import Flask, request, render_template, redirect

from flag import FLAG

APP = Flask(__name__)

UPLOAD_DIR = 'uploads'


@APP.route('/')
def index():
    files = os.listdir(UPLOAD_DIR)
    return render_template('index.html', files=files)


@APP.route('/upload', methods=['GET', 'POST'])
def upload_memo():
    if request.method == 'POST':
        filename = request.form.get('filename')
        content = request.form.get('content').encode('utf-8')

        if filename.find('..') != -1:
            return render_template('upload_result.html', data='bad characters,,')

        with open(f'{UPLOAD_DIR}/{filename}', 'wb') as f:
            f.write(content)

        return redirect('/')

    return render_template('upload.html')


@APP.route('/read')
def read_memo():
    error = False
    data = b''

    filename = request.args.get('name', '')

    try:
        with open(f'{UPLOAD_DIR}/{filename}', 'rb') as f:
            data = f.read()
    except (IsADirectoryError, FileNotFoundError):
        error = True


    return render_template('read.html',
                           filename=filename,
                           content=data.decode('utf-8'),
                           error=error)


if __name__ == '__main__':
    if os.path.exists(UPLOAD_DIR):
        shutil.rmtree(UPLOAD_DIR)

    os.mkdir(UPLOAD_DIR)

    APP.run(host='0.0.0.0', port=8000)

문제 분석

문제 서버에 접속하면 Please Upload You Memo! 메시지가 표시된다.

'/Upload My Memo' page 에 들어가서 예시 글귀를 따라 친 뒤, memo 를 업로드 하면 다음과 같은 결과가 나온다.

url 을 보면, ‘filename’ 이 그대로 노출되는 것을 볼 수 있다. 해당 부분을 수정하여 ‘flag.py’ 를 열 수 있다고 판단된다.

가장 먼저 filename parameter 에 'flag.py'를 전달해보았다.
존재하지 않는다는 결과를 얻을 수 있었다.
경로를 정확하게 파악하기 위해서 소스코드를 분석했다.

소스코드 분석

'/upload' page를 보면, 사용자가 메모 작성 시 제목과 내용이 각각 filename, content로 저장된다. 

@APP.route('/upload', methods=['GET', 'POST'])
def upload_memo():
    if request.method == 'POST':
        filename = request.form.get('filename')
        content = request.form.get('content').encode('utf-8')

        if filename.find('..') != -1:
            return render_template('upload_result.html', data='bad characters,,')

        with open(f'{UPLOAD_DIR}/{filename}', 'wb') as f:
            f.write(content)

        return redirect('/')

    return render_template('upload.html')

여기서 POST 요청으로 전달한 filename 값이 '..' 문자열을 탐지하고 있는데, 이로 인해서 {UPLOAD_DIR} 상위 폴더에는 파일을 업로드할 수 없을 것 이다.
다음으로 '/read' 페이지이다. 

@APP.route('/read')
def read_memo():
    error = False
    data = b''

    filename = request.args.get('name', '')

    try:
        with open(f'{UPLOAD_DIR}/{filename}', 'rb') as f:
            data = f.read()
    except (IsADirectoryError, FileNotFoundError):
        error = True


    return render_template('read.html',
                           filename=filename,
                           content=data.decode('utf-8'),
                           error=error)

여기서는 upload_memo() 와 다르게 '..' 문자열을 탐지하지 않기 때문에 상위디렉터리에 저장된 내용을 읽고 싶을때, '/read' 에서 시행한다면 원하는 결과가 나올 것 같다.

Exploit

{port}/read?name=../flag.py

위와 같이 FLAG를 획득했다.

profile
marceline
이전 포스트

[WebHacking][DreamHack][WarGame] Image-Storage Write-Up

0개의 댓글