[Dreamhack] Level 2: crawling

1. 문제 

https://dreamhack.io/wargame/challenges/274

crawling

2. 해결 과정

크롤링할 URL을 입력하는 화면이 보인다.

#app.py
from re import split
import socket
import requests
import ipaddress
from urllib.parse import urlparse
from flask import Flask, request, render_template

app = Flask(__name__)
app.flag = '__FLAG__'

def lookup(url):
    try:
        return socket.gethostbyname(url)
    except:
        return False

def check_global(ip):
    try:
        return (ipaddress.ip_address(ip)).is_global
    except:
        return False

def check_get(url):
    ip = lookup(urlparse(url).netloc.split(':')[0])
    if ip == False or ip =='0.0.0.0':
        return "Not a valid URL."
    res=requests.get(url)
    if check_global(ip) == False:
        return "Can you access my admin page~?"
    for i in res.text.split('>'):
        if 'referer' in i:
            ref_host = urlparse(res.headers.get('refer')).netloc.split(':')[0]
            if ref_host == 'localhost':
                return False
            if ref_host == '127.0.0.1':
                return False 
    res=requests.get(url)
    return res.text

@app.route('/admin')
def admin_page():
    if request.remote_addr != '127.0.0.1':
    		return "This is local page!"
    return app.flag

@app.route('/validation')
def validation():
    url = request.args.get('url', '')
    ip = lookup(urlparse(url).netloc.split(':')[0])
    res = check_get(url)
    return render_template('validation.html', url=url, ip=ip, res=res)

@app.route('/')
def index():
    return render_template('index.html')

if __name__=='__main__':
    app.run(host='0.0.0.0', port=3333)

 

admin에 접근하면 플래그를 리턴해준다. 

@app.route('/admin')
def admin_page():
    if request.remote_addr != '127.0.0.1':
    		return "This is local page!"
    return app.flag

 

포트는 코드의 가장 밑에서 확인할 수 있다. 

3333이다.

if __name__=='__main__':
    app.run(host='0.0.0.0', port=3333)

 

입력값(url)에 대한 필터링이 존재한다.  

• ip가 false값이 나오거나 0.0.0.0(의미없는 값)이면 필터링에 걸림 
• false
  • check_global() -> Can you access my admin page~? 리턴 
  • referer 값이 localhost / 127.0.0.1 일 때 false 리턴 

def check_get(url):
    ip = lookup(urlparse(url).netloc.split(':')[0])
    if ip == False or ip =='0.0.0.0':
        return "Not a valid URL."
    res=requests.get(url)
    if check_global(ip) == False:
        return "Can you access my admin page~?"
    for i in res.text.split('>'):
        if 'referer' in i:
            ref_host = urlparse(res.headers.get('refer')).netloc.split(':')[0]
            if ref_host == 'localhost':
                return False
            if ref_host == '127.0.0.1':
                return False 
    res=requests.get(url)
    return res.text

1. IP 주소 유효성 검사:
   • 조회된 IP 주소가 False이거나 0.0.0.0일 경우, 유효하지 않은 URL로 간주하고 "Not a valid URL." 메시지를 반환
2. 외부 IP 확인:
   • 공인 ip가 아닌 경우 (사설 IP인 경우) - "Can you access my admin page?" 출력
   • 공인 IP일 시 referer ip가 로컬 주소인지 확인한다.
3. HTTP 헤더 및 Referer 검사:
   • 응답 헤더에서 'refer' 값을 추출하고 이를 다시 파싱하여 호스트 이름을 얻는다.
   • 호스트 이름이 'localhost' 또는 '127.0.0.1'인 경우, False를 반환

즉, 일반적인 SSRF 취약점을 공격하는 것으로는 플래그를 가질 수 없다. (내부 네트워크 필터링)

 

테스트 차원에서 http://dreamhack.io를 넣어보면, 크롤링을 해준다.

 

 

http://127.0.0.1:3333/admin 를 입력해보면 "Can you access my admin page~?"라는 문자열이 출력된다.

즉, 플래그값은 확인할 수 없었다.

 

URL 단축 (https://tinyurl.com/app 사용):  리다이렉트 활용 

+)

ToCToU

이 코드는 lookup메소드를 호출한 후, 많은 연산을 한 뒤에 admin 페이지로 get 요청을 날리고 있다.

따라서 실제로 ip를 확인하는 로직인 lookup메소드와 admin 페이지의 request.remote_addr 사이에 연산으로 인한 race condition이 발생한다. 이러한 취약점을 Time of check to time of use(ToCToU) 취약점이라고 한다. 

def lookup(url):
    try:
        return socket.gethostbyname(url)
    except:
        return False

 

이 취약점을 트리거하기 위해서는 DNS rebinding 공격을 해야한다. 

DNS rebinding 공격이란, 도메인 이름을 확인하는 로직을 우회하는 방법이다.

 

lookup을 통해 도메인에 대한 ip를 확인할 때에는 check_global(ip)를 우회할 수 있도록 도메인에 매칭되는 ip가 global ip 여야하고, 이후 admin 페이지에서 request.remote_addr을 통해 ip를 검사할 때에는 도메인에 매칭되는 ip가 local ip인 127.0.0.1이여야 한다.

• lookup - global ip
• request.remote_addr - local ip (127.0.0.1)

 

그렇다면 같은 도메인에 2개의 ip가 번갈아가며 매칭되도록 한다면, flag를 얻을 수 있을 것 입니다.

 

공격을 수행하기 위해서는 하나의 도메인에 2개의 IP를 매핑해두고 TTL값을 빠르게하여 request가 전송되기 전에 global IP인 상태로 검증로직을 우회하고, 다시 local IP로 변환되어야 한다.

이를 위해 하나의 도메인에 2개의 IP를 걸어두고 TTL은 30정도로 두면 30초에 한번씩 랜덤으로 2개의 IP중 하나를 도메인에 바인딩합니다.
만약 도메인이 없는 경우에는 DNS rebinding tool을 사용하여 2가지 ip를 하나의 도메인에 바인딩하고, 해당 도메인으로 admin 페이지에 접속하여 타이밍을 맞춰주면 flag를 얻을 수 있다.

http://7f000001.6565a4b0.rbndr.us:3333/admin