학회_공부해요/워게임

[Dreamhack] Write up - pathtraversal

yenas0 2024. 7. 8. 19:41
반응형

https://dreamhack.io/wargame/challenges/12

 

pathtraversal

사용자의 정보를 조회하는 API 서버입니다. Path Traversal 취약점을 이용해 /api/flag에 있는 플래그를 획득하세요! Reference Server-side Basic

dreamhack.io

 

이렇게 나옴

 

로그인 창이 나온다.

 

그냥 습관적으로 guest랑 admin쳐봄

 

guest
admin

 

 

그 위 문자열은 그냥 {}으로 뜬다

 

 

문제에서 준 코드 파일을 열어보았다.

#!/usr/bin/python3
from flask import Flask, request, render_template, abort
from functools import wraps
import requests
import os, json

users = {
    '0': {
        'userid': 'guest',
        'level': 1,
        'password': 'guest'
    },
    '1': {
        'userid': 'admin',
        'level': 9999,
        'password': 'admin'
    }
}

def internal_api(func):
    @wraps(func)
    def decorated_view(*args, **kwargs):
        if request.remote_addr == '127.0.0.1':
            return func(*args, **kwargs)
        else:
            abort(401)
    return decorated_view

app = Flask(__name__)
app.secret_key = os.urandom(32)
API_HOST = 'http://127.0.0.1:8000'

try:
    FLAG = open('./flag.txt', 'r').read() # Flag is here!!
except:
    FLAG = '[**FLAG**]'

@app.route('/')
def index():
    return render_template('index.html')

@app.route('/get_info', methods=['GET', 'POST'])
def get_info():
    if request.method == 'GET':
        return render_template('get_info.html')
    elif request.method == 'POST':
        userid = request.form.get('userid', '')
        info = requests.get(f'{API_HOST}/api/user/{userid}').text
        return render_template('get_info.html', info=info)

@app.route('/api')
@internal_api
def api():
    return '/user/<uid>, /flag'

@app.route('/api/user/<uid>')
@internal_api
def get_flag(uid):
    try:
        info = users[uid]
    except:
        info = {}
    return json.dumps(info)

@app.route('/api/flag')
@internal_api
def flag():
    return FLAG

application = app # app.run(host='0.0.0.0', port=8000)
# Dockerfile
#     ENTRYPOINT ["uwsgi", "--socket", "0.0.0.0:8000", "--protocol=http", "--threads", "4", "--wsgi-file", "app.py"]

 

flag를 받아야하는데 위치가 /api/flag여야 받을 수 있나보다

근데 지금 위치가 /api/user/ 여기서 userid가 입력되는 듯.

입력 자체를 바꿔야 되는데 admin이랑 guest 제외하고는 문자열이 다른걸로 처리돼서 {}로 뜬다. 강제로 burp suite 사용해서 바꿔야 될 듯

burp suite에서 확인해보니까 guest 쳤을 때 userid가 이렇게 0로 들어감.

admin은 1로 들어감

 

이거 값을 /api/flag 위치로 바꿔서 forward 시켜봄

flag 나옴

반응형

'학회_공부해요 > 워게임' 카테고리의 다른 글

[Dreamhack] Write up - command-injection-1  (0) 2024.07.09
[Tool] Burp Suite(버프 스위트)  (0) 2024.07.08
[SuNiNaTas(써니나타스)] Write up - 6번  (0) 2024.05.28
[Dreamhack] Write up - php7cmp4re  (0) 2024.05.28
[Dreamhack] Write up - Windows_Search  (0) 2024.05.14

'학회_공부해요/워게임'의 다른글

  • 현재글[Dreamhack] Write up - pathtraversal

관련글

티스토리툴바