Dreamhack - 워게임, php-1

https://dreamhack.io/wargame/challenges/46/

php-1

 

 

 

php로 작성된 Back Office 서비스입니다.

LFI 취약점을 이용해 플래그를 획득하세요. 플래그는 /var/www/uploads/flag.php에 있습니다.

 

사이트에 접속을 하면, uploads 폴더 안에 파일들을 확인할 수 있는 List 페이지와

그 파일의 내용을 들여다볼 수 있는 View 페이지가 있습니다. 

 

List 페이지에서 hello.json 파일을 클릭하게 되면

 

이런 식으로 파일의 내용이 화면에 보이게 되죠

 

반면에 우리가 알고싶은 flag.php를 클릭하면 권한이 없다고 뜹니다.

 

 

문제에서 제공해준 소스 코드를 분석해 봅시다. 

 

 

 

우선 view.php를 확인해보니 정규표현식을 이용해 "/flag"라는 키워드가 포함이 되는 순간에 권한이 없다고 출력하도록 스크립트가 짜여 있습니다. 

 

이제 index.php 분석해봅시다. 

 

 

그럼 가장 눈에 띄이는 부분은 24~26번 줄인데

페이지를 이동할 때는 이렇게 GET 요청으로 page 값을 받아 페이지를 불러오는 형식이었습니다. 

 

이를 이용하면 플래그 값을 확인할 수 있지 않을까요? 

 

http://host1.dreamhack.games:17210/?page=../uploads/flag

URL을 위처럼 수정을 해주었지만

 

플래그 값이 보이기는 커녕 "can you see $flag?"라는 출력뿐이었습니다. 

 

다양한 시행착오 끝에 검색을 통해서 이 문제를 푸는 방법을 알아내었습니다. 

 

바로 PHP Wrapper를 이용하는 방법이었습니다. 

 

 

 

 

PHP Wrapper란?

 

URL 스타일의 프로토콜, 

래퍼는, 실제 데이터의 앞에서 어떤 틀을 잡아 주는 데이터 또는 다른 프로그램이 성공적으로 실행되도록 설정하는 프로그램이다.

이라고 하는데

 

 

PHP Wrapper에는 다양한 종류가 있습니다. 

 

php://: 다양한 I/O 스트림 액세스 방법입니다. 

expect://: 대화적 프로세스 스트림

zlib://: 압축 스트림

 

아무튼 PHP를 이용해 파일을 필터링한다던지, OS 명령어를 실행시키거나 ZIP 파일의 내용을 읽어 들이는 등 다양한 조작을 할 수가 있습니다.

 

 

이번 문제를 해결하기 위해서는  php://filter 라는 것이 필요로 하며, 

파일을 base64로 변형을 시켜 우회를 시키는 방법을 해보겠습니다. 

 

 

 

다시 페이지로 돌아와 주소창에 밑에 주소를 적어줍니다.

 

/?page=php://filter/convert.base64-encode/resource=/var/www/uploads/flag

 

이는 /var/www/uploads/flag의 파일을 base64로 인코딩하여 include 시키라는 의미입니다. 

 

 

 

그렇게 페이지 이동을 하면 정말 뭔가 base64의 형태로 출력이 된 것을 보실 수 있습니다. 

 

이것을 또 디코딩을 시켜주어야 하므로, 제가 자주 사용하는 디코딩 사이트를 쓰겠습니다.

 

https://www.base64decode.org/

Base64 Decode and Encode - Online

 

디코딩을 하니 정말 flag.php의 내용이 잘 출력이 되었습니다. 

 

 

처음에 Wrapper를 쓰지 않고, 그냥 flag 값을 확인할 때

can you see $flag? 만 출력이 된 이유가 이것이었군요.

 

 

 

 

 

참조: 

https://medium.com/@qingfro9/php-%EB%9E%98%ED%8D%BC-fbd6ff06babe

PHP 래퍼

 

https://rootable.tistory.com/entry/PHP-wrapper

PHP wrapper