[Dreamhack] Level1: command-injection-1

🛎️Access

특정 Host에 ping 패킷을 보내는 서비스이다.

Command Injection을 통해 플래그를 획득. 플래그는 flag.py에 있다.

 

👾Exploit Algorithm & Payload

#!/usr/bin/env python3
import subprocess

from flask import Flask, request, render_template, redirect

from flag import FLAG

APP = Flask(__name__)


@APP.route('/')
def index():
    return render_template('index.html')


@APP.route('/ping', methods=['GET', 'POST'])
def ping():
    if request.method == 'POST':
        host = request.form.get('host')
        cmd = f'ping -c 3 "{host}"'
        try:
            output = subprocess.check_output(['/bin/sh', '-c', cmd], timeout=5)
            return render_template('ping_result.html', data=output.decode('utf-8'))
        except subprocess.TimeoutExpired:
            return render_template('ping_result.html', data='Timeout !')
        except subprocess.CalledProcessError:
            return render_template('ping_result.html', data=f'an error occurred while executing the command. -> {cmd}')

    return render_template('ping.html')


if __name__ == '__main__':
    APP.run(host='0.0.0.0', port=8000)

 

 

#1

---

: '/ping' 페이지에서 ping을 통한 응답 값을 확인할 수 있을 것으로 예상된다.

 

: 8.8.8.8(Google LLC의 무료 및 공개 DNS 서버의 IP 주소)로 입력하였더니 다음과 같은 Ping 결과를 확인할 수 있다.

:  cmd = f'ping -c 3 "{host}"' 으로 지정된 호스트에 3번의 네트워크 ping 요청을 보냄을 알 수 있다.

 

 

#2

---

: ping 명령에 메타문자를 사용하여 ls 명령을 시도하였지만 요청 형식을 일치시키지 못해 결과를 확인할 수 없다.

: 따라서 해당 input 태그 박스의 요청 형식을 분석하기 위해 개발자 도구를 통해 확인했다.(F12)

 

: patten="[A-Za-z0-9.]{5,20}" 해당 패턴에 만족하는 값으로만 입력해야함을 확인했다.
(영문 소•대, 숫자 0~9, 기호 ., 5-20자)

: 즉, 클라이언트측 쪽에서 필터링이 적용되어 있어 메타문자를 사용할 수 없었다. 따라서 웹 프록시 도구 burp suite를 이용하여 중간에서 패킷을 가로채 변경해야겠다고 판단했다.

 

💡메타문자란?

메타문자란 정규표현식 또는 정규식을 제어할 수 있는 문자

• ^ : 문자열의 처음을 나타낸다.
• $ : 문자열의 끝을 나타낸다.
• . : 임의의 한 문자를 나타낸다.
• * : 바로 앞의 문자가 없거나 하나 이상이다.
• + : 바로 앞의 문자가 하나 이상이다.
• ? : 앞의 문자가 없거나 하나이다.
• [ ] : 한 문자를 가리키고 묶음 안의 내용은 가리키는 문자의 범위를 나타낸다.
• { } : 앞에 있는 문자의 개수를 나타내고 묶음 안에서 ','는 문자 개수의 범위를 나타낼 때 쓴다.
• ( ) : 괄호 안의 문자열은 하나로 묶어 취급한다.
• | : 또는(or)의 뜻으로 선택문에 쓰인다.
• \ : 메타 문자의 성질을 없앨 때 붙인다.

리눅스 주요 특수 기호

• ~ : 홈 디렉토리
• . : 현재 디렉토리
• .. : 상위 디렉토리
• # : 주석
• $ : 쉘 변수
• & : 백 그라운드 작업
• * : 문자열 와일드카드
• ? : 한 문자 와일드 카드
• [ ] : 문자의 범위 지정
• ; : 쉘 명령 구분자
• | : 파이프
• ...

 

 

#3

---

: 해당 명령을 ping -c 3 "{host}" -> ping -c 3 "8.8.8.8"|"ls" 다음과 같이 작성하면 시스템 명령의 결과가 웹 화면에 노출되는 것을 확인할 수 있다.

 

 

#4

---

8.8.8.8"|"cat" "flag.py
8.8.8.8"; "cat" "flag.py
...

: 다양한 메타 문자를 사용하여 flag를 획득할 수 있다.

 

: 또한 주요 파일들을 열람할 수도 있었다.

 

: 또한 클라이언트 측에서 패턴 부분을 제외 시키고 시스템 명령어를 요청하고 그 결과 값을 응답 받을 수도 있었다.

 

 

🔑Analysis and results for obtaining the Flag DH{…}

---

 

 

📌Summary

---

- command injection 대응방안 -

 

| 입력 유효성 검사 |

시스템 명령어를 클라이언트 단에서 유효성 검사만 하는 것은 안전하지 않음

서버측에서도 정규식 또는 문자열 검사 기능을 사용하고 있는지 확인하고 입력이 안전한지 검증해야 함

(적정 입력 길이 제한) 

(화이트리스트, 블랙리스트 상황에 따라 선택적 적용이 필요)

...