[Dreamhack] Beginner: file-download-1

1. 문제 

https://dreamhack.io/wargame/challenges/37

file-download-1

 

File Download 취약점이 존재하는 웹 서비스라고 제시되어 있다.

 

---

2. 해결 과정

(1) 문제 파일 다운로드

(2) 코드 확인

- app.py 파일 확인

#!/usr/bin/env python3
import os
import shutil

from flask import Flask, request, render_template, redirect

from flag import FLAG

APP = Flask(__name__)

UPLOAD_DIR = 'uploads'


@APP.route('/')
def index():
    files = os.listdir(UPLOAD_DIR)
    return render_template('index.html', files=files)


@APP.route('/upload', methods=['GET', 'POST'])
def upload_memo():
    if request.method == 'POST':
        filename = request.form.get('filename')
        content = request.form.get('content').encode('utf-8')

        if filename.find('..') != -1:
            return render_template('upload_result.html', data='bad characters,,')

        with open(f'{UPLOAD_DIR}/{filename}', 'wb') as f:
            f.write(content)

        return redirect('/')

    return render_template('upload.html')


@APP.route('/read')
def read_memo():
    error = False
    data = b''

    filename = request.args.get('name', '')

    try:
        with open(f'{UPLOAD_DIR}/{filename}', 'rb') as f:
            data = f.read()
    except (IsADirectoryError, FileNotFoundError):
        error = True


    return render_template('read.html',
                           filename=filename,
                           content=data.decode('utf-8'),
                           error=error)


if __name__ == '__main__':
    if os.path.exists(UPLOAD_DIR):
        shutil.rmtree(UPLOAD_DIR)

    os.mkdir(UPLOAD_DIR)

    APP.run(host='0.0.0.0', port=8000)

 

 

 

 /upload

• upload 페이지에서는 post 를 통해 file name과 context를 포함하여 글을 서버에 등록할 수 있다.
• 이때, 파일 명에 ..이 있는지 확인한다. (..이 있을 경우, 상위 경로에 접근할 수 있으므로 이를 방지하기 위함이다)

@APP.route('/upload', methods=['GET', 'POST'])
def upload_memo():
    if request.method == 'POST':
        filename = request.form.get('filename')
        content = request.form.get('content').encode('utf-8')

        if filename.find('..') != -1: # filename에 '..'이 발견되지 않을 경우에만 if문 탈출
        
            return render_template('upload_result.html', data='bad characters,,')

        with open(f'{UPLOAD_DIR}/{filename}', 'wb') as f:
            f.write(content)

        return redirect('/')

    return render_template('upload.html')

 

 

 /read

• name을 받아와 서버에서 파일을 읽어오는 페이지이다.
• 웹 페이지에 파일 내용을 표시할 때, 위와 다르게 다운로드 되는 파일에 대해 어떠한 검사도 하지 않으므로 파일 다운로드 공격에 취약하다.

@APP.route('/read')
def read_memo():
    error = False
    data = b''

    filename = request.args.get('name', '')

    try:
        with open(f'{UPLOAD_DIR}/{filename}', 'rb') as f:
            data = f.read()
    except (IsADirectoryError, FileNotFoundError):
        error = True


    return render_template('read.html',
                           filename=filename,
                           content=data.decode('utf-8'),
                           error=error)

 

 

(3) 페이지 접속

 

http://host3.dreamhack.games:13703/

 

Upload My Memo 접속

• 파일명과 내용을 form으로 입력받는 화면이 보인다.

 

 

아무내용이나 입력해보고 upload해본다. 

 

 

내가 업로드한 파일이 리스트로 보이고, 클릭하면 메모 내용을 확인할 수 있다. 

•  http://host3.dreamhack.games:13703/read?name=first
• 위의 코드에서 분석했던 것처럼, 파일을 읽어올 때(다운로드 할 때) 

 

 

(3) 경로 우회

따라서 read 페이지를 이용하여  '../' 를 입력해서 경로 우회를 시도했다.

• http://host3.dreamhack.games:13703/read?name=../flag.py 

---

3. 대응 방법

위 페이지에서 해당 취약점을 공격할 수 있었던 가장 큰 이유는 업로드와 달리 다운로드 페이지에서는 '..'을 필터링하지 않았기 때문이다.

따라서 다운로드 페이지에서 ..을 필터링 하여 경로 우회 공격을 막아야 한다.

또한, .. 뿐만 아니라 다른 방법을 통해 우회할 수 있으므로 더욱 엄격한 필터링이 있어야 할 것이다.