소스 코드 분석
/upload
파일명에 ..가 들어가면 upload_result.html을 반환한다. 그렇지 않은 경우, 해당 파일을 열어서 내용을 보여준다.
@APP.route('/upload', methods=['GET', 'POST'])
def upload_memo():
if request.method == 'POST':
filename = request.form.get('filename')
content = request.form.get('content').encode('utf-8')
if filename.find('..') != -1:
return render_template('upload_result.html', data='bad characters,,')
with open(f'{UPLOAD_DIR}/{filename}', 'wb') as f:
f.write(content)
return redirect('/')
return render_template('upload.html')/read
파일의 내용을 보여준다.
@APP.route('/read')
def read_memo():
error = False
data = b''
filename = request.args.get('name', '')
try:
with open(f'{UPLOAD_DIR}/{filename}', 'rb') as f:
data = f.read()
except (IsADirectoryError, FileNotFoundError):
error = True
return render_template('read.html',
filename=filename,
content=data.decode('utf-8'),
error=error)
취약점 분석
/upload 에서는 ..를 검증하고 있지만, 업로드한 파일의 목록을 보여주는 /read에서는 filename을 따로 검증하고 있지 않아 경로 조작이 가능하다.
익스플로잇
임의 메모 작성
현재 디렉토리에서부터 flag.py 파일 찾기
반응형
'Wargame > Web' 카테고리의 다른 글
| [Dreamhack] image-storage (0) | 2024.05.14 |
|---|---|
| [Dreamhack] command-injection-1 (0) | 2024.04.29 |
| [Dreamhack] Mango (0) | 2024.02.24 |
| [Dreamhack] simple-sqli (0) | 2024.02.24 |
| [Dreamhack] csrf-2 (2) | 2024.02.18 |
