[Dreamhack] Level2: Dream Gallery

🛎️ Access

드림이는 갤러리 사이트를 구축했습니다.
그런데 외부로 요청하는 기능이 안전한 건지 모르겠다고 하네요...
갤러리 사이트에서 취약점을 찾고 flag를 획득하세요!
flag는 /flag.txt에 있습니다.

 

 

👾 Exploit Algorithm & Payload

> app.py

from flask import Flask, request, render_template, url_for, redirect
from urllib.request import urlopen
import base64, os

app = Flask(__name__)
app.secret_key = os.urandom(32)

mini_database = []


@app.route('/')
def index():
    return redirect(url_for('view'))


@app.route('/request')
def url_request():
    url = request.args.get('url', '').lower()
    title = request.args.get('title', '')
    if url == '' or url.startswith("file://") or "flag" in url or title == '':
        return render_template('request.html')

    try:
        data = urlopen(url).read()
        mini_database.append({title: base64.b64encode(data).decode('utf-8')})
        return redirect(url_for('view'))
    except:
        return render_template("request.html")


@app.route('/view')
def view():
    return render_template('view.html', img_list=mini_database)


@app.route('/upload', methods=['GET', 'POST'])
def upload():
    if request.method == 'POST':
        f = request.files['file']
        title = request.form.get('title', '')
        if not f or title == '':
            return render_template('upload.html')

        en_data = base64.b64encode(f.read()).decode('utf-8')
        mini_database.append({title: en_data})
        return redirect(url_for('view'))
    else:
        return render_template('upload.html')


if __name__ == "__main__":
    img_list = [
        {'초록색 선글라스': "static/assetA#03.jpg"}, 
        {'분홍색 선글라스': "static/assetB#03.jpg"},
        {'보라색 선글라스': "static/assetC#03.jpg"}, 
        {'파란색 선글라스': "static/assetD#03.jpg"}
    ]
    for img in img_list:
        for k, v in img.items():
            data = open(v, 'rb').read()
            mini_database.append({k: base64.b64encode(data).decode('utf-8')})
    
    app.run(host="0.0.0.0", port=80, debug=False)

 

 

#1

---

: '/' 페이지는 '/view' 페이지로 리다이렉션됨을 확인할 수 있다.

: '/view' 페이지에서는 사진이 4가지 있음을 확인할 수 있다.

 

: '/request' 페이지는 사용자가 입력할 수 있는 URL, 이미지 제목이라는 것을 활용하면 이미지를 가져올 수 있음을 유추할 수 있다.

: 해당 값을 입력하면 GET형태로 /request?url=&title= 이라는 파라미터가 동작함을 확인할 수 있다.

: 추가로 코드를 살폈다. 사용자가 URL의 내용을 가져와 base64로 인코딩하고 mini_database에 저장함을 알 수 있다. 단, URL이 비어있거나, "file://"로 시작하거나, "flag"라는 문자열이 포함된 경우는 처리하지 않음을 알 수 있다.

 

: '/upload' 페이지는 사용자가 파일을 업로드하면 해당 파일이 업로드됨을 유추할 수 있다.

: 추가로 코드를 살폈다. 사용자가 파일을 업로드하면 해당 파일의 내용을  base64로 인코딩하고 mini_database에 저장함을 알 수 있다. 그리고 '/view' 페이지에서 확인할 수 있다.

 

: '/request' 경로에서 사용자가 입력한 URL을 이용하여 요청을 보내는 기능이 있는데, 이때 사용자가 서버 내부 네트워크의 URL을 입력하며, 서버가 그 URL로 요청을 보내게 되어서 내부 네트워크에 접근하게 될 수 있다.

: 이는 SSRF 취약점을 유발할 것으로 예상된다.

: 추가로 코드에서 URL이 "file://'로 시작하거나 '/flag' 문자열이 있을 경우 공백처리 했지만 충분히 우회할 수 있을 것으로 판단된다.

 

 

#2

---

: 우선 갤러리 뷰어에서 개발자 도구(F12)로 해당 사진 내용을 확인했을 때, base64로 인코딩되어 있음을 알 수 있다.

 

:

: 준비되어 있던 cmd 파일을 업로드 해봤더니 갤러리 뷰어에서 파일 내용이 encoding된 값으로 확인 가능하다.

: 이를 디코딩 시켰더니 다음과 같이 파일 내용이 그대로 드러났다.

 

 

#3

---

: 위 결과들을 종합적으로 분석했을때, 서버 내부 네트워크의 URL을 입력하고 서버가 그 URL로 요청을 보내게 되어서 내부의 파일인 /flag.txt를 요청하고 base64인코딩된 파일 내용을 디코딩하면 FLAG를 획득할 수 있을 것이다.

file:// -> file:/// , file:///, ...
flag -> fl%2561g, fla%2567, ...

/request?url=file:/fla%2567.txt&title=flag1
...

: 다음과 같이 우회해서 GET 방식으로 전송해준다.

 

 

🔑Analysis and results for obtaining the Flag DH{…}

---

flag.txt 인코딩 파일 내용

flag.txt 디코딩된 파일 내용

: 갤러리 뷰어에서 인코딩된 파일 내용을 확인하고 디코딩하면 FLAG를 획득할 수 있다.

 

 

 

📌Summary

---

 SSRF(Server-Side Rquest Forgery)는 공격자가 서버를 조작하여 내부 시스템에 요청을 보내는 공격. 공격자는 이를 통해 내부 시스템에 접근하거나, 내부 시스템의 정보를 노출시킬 수 있음.

 

-대응방안-

- 사용자 입력 값 검증

- 출력 데이터 처리

- 내부 네트워크에 대한 요청 차단

- 최소 권한 원칙 적용

...