[웹해킹] | [드림핵]: command-injection-chatgpt

[문제]

https://dreamhack.io/wargame/challenges/768

command-injection-chatgpt

---

[문제 풀이]

• 먼저 페이지를 분석해 보니 호스트 입력을 통해 ping 명령어를 수행할 수 있도록 되어있다.

#!/usr/bin/env python3
import subprocess

from flask import Flask, request, render_template, redirect

from flag import FLAG

APP = Flask(__name__)


@APP.route('/')
def index():
    return render_template('index.html')


@APP.route('/ping', methods=['GET', 'POST'])
def ping():
    if request.method == 'POST':
        host = request.form.get('host')
        cmd = f'ping -c 3 {host}'
        try:
            output = subprocess.check_output(['/bin/sh', '-c', cmd], timeout=5)
            return render_template('ping_result.html', data=output.decode('utf-8'))
        except subprocess.TimeoutExpired:
            return render_template('ping_result.html', data='Timeout !')
        except subprocess.CalledProcessError:
            return render_template('ping_result.html', data=f'an error occurred while executing the command. -> {cmd}')

    return render_template('ping.html')


if __name__ == '__main__':
    APP.run(host='0.0.0.0', port=8000)

• 그다음 코드를 분석해보면,  @APP.route('/ping', methods=['GET', 'POST']): 부분에서 /ping 경로에 대한 GET 및 POST 요청을 처리한다.
• ping 함수는 POST 요청에서 host 파라미터를 가져와 ping 명령을 실행한다. subprocess.check_output을 사용하여 명령어 실행 결과를 캡처한 뒤 명령어가 성공적으로 실행되면 결과를 ping_result.html 템플릿에 전달한다.
• ping 명령어는 사용자 입력을 그대로 사용하므로 명령어 주입 공격에 취약하여 이를 이용해 ;, & 등을 사용하여 추가 명령어를 실행할 수 있다.

• 문제 설명에서 플래그는 flag.py에 있다고 했으니 ;를 이용해 추가 명령어를 실행해보자.

• 그 결과, flag를 획득할 수 있었다!