[Dreamhack] Level 1: php-1

CTF, War game

[Dreamhack] Level 1: php-1

mnzy🌱 2024. 3. 12. 04:36

1. 문제

https://dreamhack.io/wargame/challenges/46

php-1

php로 작성된 Back Office 서비스입니다. LFI 취약점을 이용해 플래그를 획득하세요. 플래그는 /var/www/uploads/flag.php에 있습니다. Reference Server-side Basic

dreamhack.io

- 플래그가 /var/www/uploads/flag.php에 존재한다고 문제에 제시되어있다.

- LFI 취약점을 이용하라고 문제에 명시되어 있다.

2. 해결 과정

(1) 문제 파일 다운로드

- 다운로드 후 압축을 풀어주었다. 4개의 php 파일을 확인할 수 있었다.

- 해당 파일을 vscode를 통해 열어보았다.

- index.php

<?php
          include $_GET['page']?$_GET['page'].'.php':'main.php';
      ?>

위 코드에서는 index.php에서는 GET 방식을 통해 넘어온 page 값이 존재하면 main.php의 page.php 파일을 불러오려고 하고 있다. (만약 page 값이 존재하지 않는다면 main.php를 불러오게 된다)

(2) 코드 확인

- main.php

<h2>Back Office!</h2>

- view.php

view 파일을 보면, GET을 통해 받은 file파일이 존재하면, file을 가져오고 아니면 공백을 가져온다.
preg_match 함수를 통해 file의 flag 문자열을 필터링하여 차단하고 있다. 따라서 flag를 보기 위해서는 해당 필터링을 우회해야한다고 추측할 수 있다.

(3) 페이지 접속

- main.php 접속 화면

- list.php 접속 화면

- flag.php 클릭

코드에서 확인했던 것과 같이 필터링으로 인해 차단이 되는 것을 확인할 수 있다.
필터링으로 flag를 걸고 있기 때문에, hello.json을 클릭하면 내용이 제대로 보인다.

(4) 우회 처리

http://host3.dreamhack.games:18096/?page=view&file=../uploads/flag.php view 페이지에서 flag라는 값이 있기 때문에 preg_match 함수로 필터링이 되어 Permission denied 문자열을 출력하고 종료되므로 확인할 수 없는 것이라고 하였다.

따라서, 필터링을 우회하기 위해서는 file을 필터링이 존재하는 view 페이지가 아닌 다른 페이지에서 가져와야 한다. index.php를 사용해서 우회해보고자 한다.

f(preg_match('/flag|:/i', $file))

문제에서 flag.php의 위치를 알려주었다. (/var/www/uploads/flag.php)

따라서 http://host1.dreamhack.games:17985/?page=/var/www/uploads/flag 주소로 이동하면 can you see $flag?라는 문자열이 출력된다.

즉, flag.php의 $flag를 확인해야 플래그를 얻을 수 있다는 것이다.

그런데 서버 내에 있는 flag.php 파일을 어떻게 읽을 수 있을까?

앞서 문제에서 언급된 "LFI vulnerability" 에서 힌트를 얻을 수 있다.

[LFI 취약점]

https://mnzy.tistory.com/128

(5) 우회 처리2

우회를 위해 PHP Wrapper라는 기능을 사용할 수 있다.

실제로 우리가 LFI 공격을 하면서 유용하게 사용할 수 있는 wrapper는 정해져있다.

expect://
php://filter/
zip://

php://filter의 경우, 서버안의 문서들을 열람할 수 있게 해준다. (encode 또는 decode의 형태로).

www.[웹사이트주소]/?file=php://filter/convert.base64-encode/resource=파일명 처럼 활용하면, base64로 인코딩된 파일을 얻을 수 있다.

http://host3.dreamhack.games:19096/index.php?page=php://filter/convert.base64-encode/resource=/var/www/uploads/flag

base64로 인코딩된 flag.php 확인

PD9waHAKCSRmbGFnID0gJ0RIe2JiOWRiMWYzMDNjYWNmMGYzYzkxZTBhYmNhMTIyMWZmfSc7Cj8+CmNhbiB5b3Ugc2VlICRmbGFnPw==

(6) 디코딩

https://www.base64decode.org/

Base64 Decode and Encode - Online

Decode from Base64 format or encode into it with various advanced options. Our site has an easy to use online tool to convert your data.

www.base64decode.org

3. 대응 방법

만약 이게 실제 사이트라고 생각한다면, LFL 공격을 받아 실제로 웹 서버의 파일이 노출되어 민감정보 등이 유출될 가능성이 크다. 따라서 php wrapper를 사용하지 못하도록 사용자의 입력에 대한 적절한 검증이 필요할 것이다.

즉, 사용자가 파일 이름이나 경로가 입력한다면 적절한 검증을 통해 부적절할 경우 이를 차단해야 한다.