[웹해킹] | [드림핵]: baby-Case

[문제]

https://dreamhack.io/wargame/challenges/1401

baby-Case

 

---

[문제 풀이]

• 먼저 들어가니 hi guest 글자만 나오는 페이지가 출력됐다.
• 그래서, 소스코드를 분석하기로 했다.

const express = require("express")
const words = require("./ag")

const app = express()
const PORT = 3000
app.use(express.urlencoded({ extended: true }))

function search(words, leg) {
    return words.find(word => word.name === leg.toUpperCase())
}

app.get("/",(req, res)=>{
    return res.send("hi guest")
})

app.post("/shop",(req, res)=>{
    const leg = req.body.leg

    if (leg == 'FLAG'){
        return res.status(403).send("Access Denied")
    }

    const obj = search(words,leg)

    if (obj){
        return res.send(JSON.stringify(obj))
    }
    
    return res.status(404).send("Nothing")
})

app.listen(PORT,()=>{
    console.log(`[+] Started on ${PORT}`)
})

• Search 함수는 words 배열에서 leg 값을 대문자로 변환한 후, 해당 name 속성과 일치하는 객체를 찾아 반환한다.
• 이 코드는 /shop 엔드포인트에서 POST 요청을 받아 특정 조건에 따라 응답을 반환한다.
  • leg라는 요청 본문에서 데이터를 추출하고 leg가 'FLAG'이면, 403 Forbidden 상태 코드와 함께 "Access Denied"를 반환한다.
  • search 함수를 사용하여 leg와 일치하는 개체를 객체를 찾고 객체를 찾으면 JSON 문자열로 변화하여 응답하고 찾지 못하면 404 Not Found 상태 코드와 함께 "Nothing"을 반환한다.
• 서버가 PORT 번호에서 리슨을 시작하며, 성공적으로 시작되면 콘솔에 메시지를 출력한다.

module.exports = [
    {
        "id": 1,
        "name": "FLAG",
        "description": "DH{fake_flag}"
    },
    {
        "id": 2,
        "name": "DRAG",
        "description": "To pull something along forcefully, often on the ground or another surface, causing friction or resistance. It also refers to the delay in performance or response time."
    },
    {
        "id": 3,
        "name": "SLAG",
        "description": "The waste material produced by the smelting process, which involves separating metal from its ore. Slag is typically a mixture of metal oxides and silicon dioxide."
    },
    {
        "id": 4,
        "name": "SWAG",
        "description": "Refers to stylish confidence in one's appearance or demeanor. It can also mean promotional goods or items given away for free as a form of advertising."
    }
]

• 이 코드는 word의 리스트 예시이다.

events {
    worker_connections  1024;
}

http {
    server {
        listen 80;
        listen [::]:80;
        server_name  _;
        
        location = /shop {
            deny all;
        }

        location = /shop/ {
            deny all;
        }

        location / {
            proxy_pass http://app:3000/;
        }

    }

}

• nginx.conf 파일 코드도 분석해 보면 /shop에 대한 모든 요청이 deny 되도록 설정되어 있다.

• postman을 통해 확인해본 결과, deny 되는 걸 확인할 수 있었다.

https://www.hahwul.com/2021/10/08/bypass-403/

403 forbidden을 우회하는 4가지 방법들

• 이 사이트를 참고해 우회하는 방법 중 하나인 Letter Case를 이용해 shop을 SHOP으로 변경해 포스트 요청을 해보았다.
• 그 결과, Flag를 얻을 수 있었다.