[Dreamhack] Level1: file-download-1

🛎️Access

File Download 취약점이 존재하는 웹 서비스이다.

flag.py를 다운로드 받으면 플래그를 획득할 수 있다.

 

 

👾Exploit Algorithm & Payload

#!/usr/bin/env python3
import os
import shutil

from flask import Flask, request, render_template, redirect
from flag import FLAG

APP = Flask(__name__)
UPLOAD_DIR = 'uploads'


@APP.route('/')
def index():
    files = os.listdir(UPLOAD_DIR)
    return render_template('index.html', files=files)


@APP.route('/upload', methods=['GET', 'POST'])
def upload_memo():
    if request.method == 'POST':
        filename = request.form.get('filename')
        content = request.form.get('content').encode('utf-8')

        if filename.find('..') != -1:
            return render_template('upload_result.html', data='bad characters,,')

        with open(f'{UPLOAD_DIR}/{filename}', 'wb') as f:
            f.write(content)

        return redirect('/')

    return render_template('upload.html')


@APP.route('/read')
def read_memo():
    error = False
    data = b''

    filename = request.args.get('name', '')

    try:
        with open(f'{UPLOAD_DIR}/{filename}', 'rb') as f:
            data = f.read()
    except (IsADirectoryError, FileNotFoundError):
        error = True


    return render_template('read.html',
                           filename=filename,
                           content=data.decode('utf-8'),
                           error=error)


if __name__ == '__main__':
    if os.path.exists(UPLOAD_DIR):
        shutil.rmtree(UPLOAD_DIR)

    os.mkdir(UPLOAD_DIR)

    APP.run(host='0.0.0.0', port=8000)

 

 

#1

---

: '/upload' 페이지에서는 사용자가 작성한 메모를 업로드 할 수 있는 페이지이다.

 

: '/read' 페이지에서는 upload한 파일들이 Filename(test1)의 이름 형태로 링크되어 있다.

: 해당 링크를 확인하면 방금 작성한 메모가 연결된다는 것을 확인할 수 있고, GET의 파라미터 형태를 알 수 있다.
(read?name=[파일명]의 구조)

 

: 즉, 해당 파일 업로드 및 다운로드 경로를 조작하면(file vulnerability) FLAG를 획득할 수 있을 것 같다.

 

 

#2

---

: burp suite 도구를 이용하여 upload했을 경우의 패킷을 분석했다.

: POST방식으로 filename, content를 보내는 것을 확인했다.

 

: 업로드 결과를 Proxy하여 패킷을 분석할 경우 방금 전에 입력했던 해당 filename과 content를 응답값으로 확인할 수 있다.

: 이에 read?name=test1의 파일 결과를 보여주는 것을 확인하고, 해당 서버의 위치에 파일이 존재하면 확인 가능할 것이라 예상했다.

('../',  './' , '~', ... )

 

 

#3

---

: 서버에 파일 있을것이라 판단되는 것을 입력하여 상위 폴더로 이동하며 동작 시켰더니 값을 확인할  수 있었다.

: 이제 FLAG를 찾기 위한 flag.py를 찾으면 되는 것이다.

(주요 파일 경로 중 하나인 /etc/passwd를 열람)

(웹 서버가 동작하는 디렉토리를 벗어나 임의의 위치에 있는 파일까지 열람되어 서버 주요 파일이 노출되는 위험)

 

 

🔑Analysis and results for obtaining the Flag DH{…}

---

: '../flag.py' 경로에서 FLAG를 획득할 수 있었다.

 

 

📌Summary

---

File Vulnerability(File Download)

-발생 원인-
1) 파일 다운로드 시 파일의 절대경로 또는 상대 경로가 노출
2) 다운로드 모듈이 파일의 경로, 이름, 파라미터, …로 사용되는 경우
3) 파일 경로와 파일명 필터링 미흡( ‘.’ , ‘..’ , ‘~’ ,…)
4) 다운로드 경로가 노출되지 않더라도 구조가 단순하여 파라미터 변조를 통해 접근이 허용되지 않은 파일에 접근이 가능할 경우

...

-대응 방안-
1) 파일명과 경로명을 DB에서 관리
2) 허용되지 않은 파일에 접근할 수 없도록 낮은 권한으로 서비스 운영
3) 경로 이동 문자열을 필터링하여 상위 디렉터리에 대한 접근을 차단
4) 서비스가 특정 확장자의 파일만을 다운로드 받는다면 다운로드 파일에 대한 확장자 검증 수행
5) 파일 다운로드 경로를 static하게 설정하여, 다른 디렉토리에 접근하지 못하도록 차단

...