문제풀이 과정
문제 이름도 file-download-1이고 문제 설명에서 문제 설명에서 flag.py를 다운로드 받으면 플래그를 획득할 수 있다는 설명이 있으므로 파일 다운로드 취약점을 사용해서 flag.py를 다운받아야 한다.
들어가자마자 이와 같은 페이지가 뜬다. Upload My Memo페이지로 이동하면
위와 같은 페이지가 뜬다. 일단 메모를 하나 작성해보자
Home페이지가 
와 같이 변경된 것을 볼 수 있다.
메모에 들어가면
http://host3.dreamhack.games:13424/read?name=my%20first%20memo
와 같이 메모의 제목에 따라url이 바뀐 것을 볼 수 있다.
이제 코드를 살펴보자
UPLOAD_DIR = 'uploads'
@APP.route('/')
def index():
files = os.listdir(UPLOAD_DIR)
return render_template('index.html', files=files)
@APP.route('/upload', methods=['GET', 'POST'])
def upload_memo():
if request.method == 'POST':
filename = request.form.get('filename')
content = request.form.get('content').encode('utf-8')
if filename.find('..') != -1:
return render_template('upload_result.html', data='bad characters,,')
with open(f'{UPLOAD_DIR}/{filename}', 'wb') as f:
f.write(content)
return redirect('/')
return render_template('upload.html')
@APP.route('/read')
def read_memo():
error = False
data = b''
filename = request.args.get('name', '')
try:
with open(f'{UPLOAD_DIR}/{filename}', 'rb') as f:
data = f.read()
except (IsADirectoryError, FileNotFoundError):
error = True
return render_template('read.html',
filename=filename,
content=data.decode('utf-8'),
error=error)
if __name__ == '__main__':
if os.path.exists(UPLOAD_DIR):
shutil.rmtree(UPLOAD_DIR)
os.mkdir(UPLOAD_DIR)
APP.run(host='0.0.0.0', port=8000)
코드에서 이 부분을 보면
if filename.find('..') != -1:
return render_template('upload_result.html', data='bad characters,,')메모를 만들 때 메모 제목에 ‘..’가 들어간 것이 발견되면 ‘bad characters’ 라는 페이지를 return한다는 제한 사항이 있는것을 알 수 있다.
파일 생성 하면 read?name=my-first-memo와 같이 파일 이름이 url에 포함되는 것을사 용해서 메모 제목에 flag.py를 찾아내는 ../flag.py를 입력하고 싶었지만 제한사항때문에 이 방법은 사용할 수 없다. 하지만 제약조건에 ..를 메모 제목으로 사용할 수 없으므로 ../를 사용하는 것이 맞다는 확신은 들었다.
메모 제목과 관련된 부분은 실제 메모 제목, 그리고 url 뒷부분 2개 밖에 없으므로 사용할 수 있는 방법은 URl을 변경하는 방법밖에 없다. 기존에 만들어진 메모 페이지로 들어가서 없으므로 url에서 메모 제목부분을 지우고 ../flag.py로 변경해보면
http://host3.dreamhack.games:13424/read?name=../flag.py
와 같이 flag를 얻을 수 있었다.
느낀점
문제를 풀고 생각해보니까 url에 메모 제목이 반영된다는 사실만을 이용해 무작정 flag.py를 찾으려고 ../flag.py를 갔다 붙인 건 좀 느낌으로 푼 듯한 것 같다는 생각이 들었다.
코드를 살펴보니
with open(f'{UPLOAD_DIR}/{filename}', 'rb') as f:
data = f.read()이런 코드가 있다.
filename에 해당하는 파일을 여는 코드인데 이때 filename을 가진 파일이 들어있는 디렉토리가 업로드 된 모든 파일들이 있는 디렉토리 이므로 flag.py 파일을 찾으려면 업로드된 파일들이 있는 디렉토리에서 찾아야 하므로 ../로 flag.py를 찾는 이유를 알 수 있다.
