본문 바로가기
Web Hacking/Dreamhack

[Dreamhack] command-injection write up - 티스토리

danmooji 2024. 1. 21. 18:14

 

#!/usr/bin/env python3
import subprocess

from flask import Flask, request, render_template, redirect

from flag import FLAG

APP = Flask(__name__)


@APP.route('/')
def index():
    return render_template('index.html')


@APP.route('/ping', methods=['GET', 'POST'])
def ping():
    if request.method == 'POST':
        host = request.form.get('host')
        cmd = f'ping -c 3 "{host}"'
        try:
            output = subprocess.check_output(['/bin/sh', '-c', cmd], timeout=5)
            return render_template('ping_result.html', data=output.decode('utf-8'))
        except subprocess.TimeoutExpired:
            return render_template('ping_result.html', data='Timeout !')
        except subprocess.CalledProcessError:
            return render_template('ping_result.html', data=f'an error occurred while executing the command. -> {cmd}')

    return render_template('ping.html')


if __name__ == '__main__':
    APP.run(host='0.0.0.0', port=8000)

 

 

 

사용자 입력 값을 'ping -c 3 [입력]'에 포함시키고 있다.

 

 

 

 

👆 입력값이 형식과 맞지 않다는 에러를 볼 수 있다.

 

위 문제는 두 가지로 해결할 수 있다.

 

 

Devtools

개발자 도구를 이용해서 정의 되어 있는 입력 폼을 살펴본다.

 

 

 

위와 같이 패턴이란게 정의 되어 있다. 잘은 모르지만 정규표현식을 이용한 것 같다.

 

해당 패턴을 지운 후 다시 전송한다.

 

 

다음과 같은 에러가 발생한다. 더블쿼터 안에 모든 메타문자와 ls명령어가 들어가 있어서 그런 것 같다.

 

 

위와 같이 더블쿼터를 탈출 해준다.

 

 

 

 

 

 

Burp Suite

버프 스위트를 이용해 패킷을 일단 전송하여 패턴을 우회하고 패킷 변조 후 전송하는 방법이 있다.

 

 

먼저 패턴에 걸리지 않는 값을 전송한다.

 

 

 

 

👆 버프 스위트로 보낸 패킷을 잡고 8.8.8.8 뒤에 "; cat flag"를 붙여서 재전송한다.

 

 

'Web Hacking > Dreamhack' 카테고리의 다른 글

[Dreamhack] file-download-1 write up - 티스토리  (0) 2024.01.21
[Draemhack] image-storage write up - 티스토리  (0) 2024.01.21
[Dreamhack] simple_sqli write up - 티스토리  (0) 2024.01.15
[Dreamhack] csrf-2 write up - 티스토리  (0) 2024.01.12
[Dreamhack] csrf-1 write up - 티스토리  (0) 2024.01.12

'Web Hacking/Dreamhack' Related Articles

티스토리툴바