BypassIF
이 문제의 경우 알맞은 KEY 값을 입력하여 FLAG를 획득하는 문제이다.
[문제 해결]
1. 문제 서버 접속
KEY값을 입력하는 부분을 확인 가능하다.
어떤 방식으로 동작하는지 확인하기 위해 문제 파일 분석을 진행한다.
2. 문제 파일 분석
코드의 경우 두가지의 중요 포인트로 나누어진다.
첫번째 중요 포인트인 필터링 부분이다.
분석할 시 아래와 같다.
우선 소문자(a-z), ' ', 숫자(0~9)를 alphabet 변수에 리스트로 저장한다.
또한 command_list에 특정 명령들을 리스트로 저장한다
이 후 반복문과 조건문을 이용해 True값을 반환한다.
이 조건문을 해석할 경우 만일 입력받은 cmd 즉 명령이 command_list에 존재하는 명령이거나 alphabet에 존재하지 않는 값일 경우 True 값을 반환한다.
즉 이 필터링에서 False 값을 받아야 통과인 것이다.
메인 코드인 부분으로 조건문들을 분석할 경우 아래와 같다.
cmd가 빈 곳이고 key가 KEY(FLAG를 인코딩하고 해시화한 값)일 경우 FLAG를 리턴
cmd가 빈 곳이고 key가 gueste_key일 경우 guest.html 리턴
cmd가 빈 곳이 아니거나 key가 KEY일 경우에 if not filter_cmd, 즉 필터링에서 True값을 리턴 받지 않을 경우 해당 명령을 쉘로 실행한다.
대략적인 코드의 동작 방식은 이해를 했기에 이제 우회법을 찾아야 한다.
FLAG가 저장된 곳은 ./flag.txt다.
보통의 경우라면 cat 명령어를 사용하여 쉽게 읽을 수 있겠지만 cat, flag의 경우 필터링 리스트에 등록되어 있다.
하지만 코드를 자세히 볼 경우 우회를 할 필요가 없다는 것을 알 수 있다.
명령에 대한 timeout 시간이 5초로 설정되어 있는 것을 알 수 있다.
이때 아래의 except 조건을 살펴보자.
timeout을 초과할 경우 KEY를 리턴하는 것을 알 수 있다.
이를 이용하여 FLAG 획득을 진행한다.
3. Exploit
우선 guest_key값을 입력하여 테스트를 진행해본다.
해당 조건문이 충족되어 guest.html이 리턴된 것을 확인 할 수 있다.
위의 조건문을 충족시키기 위해 ls 명령어를 입력한다.
여기서 중요한 것은 해당 POST 요청을 burp를 이용하여 캡쳐해 key를 cmd_input으로 변경해 cmd에 ls 값이 저장되도록 해야한다.
명령이 실행되어 결과가 리턴된 것을 확인 가능하다.
해당 코드를 발생시키기 위해 timeout 야기한다.
KEY값을 획득하였다.
해당 KEY값을 입력 후 요청을 전송하고 burp를 이용해 이를 캡쳐한 후 이전과는 반대로 cmd_input을 key로 변경한다.
FLAG를 획득하였다.