Zed Attack Proxy (ZAP) 사용 가이드 : [Dreamhack] web-ssrf 풀이

🚀  ZAP의 사용법은 뒤에 나오니 내려가주세요 🚀

web-ssrf

 

web-ssrf 라는 문제입니다.

 

💡 SSRF 란 ? 
  Server-side Request Forgery(SSRF)는 웹 서비스의 요청을 변조하는 취약점으로, 
  웹서버에 위조된 요청을 보내면, 해당 웹서버가 내부 서버와 통신을 수행하도록 조작할 수 있습니다. 
  이를 통해 사용자는 직접 접근할 수 없는 내부 자원에 대해 간접적으로 공격을 수행할 수 있습니다.

 

출처 : 드림핵

 

---

🔎 소스코드 분석

🖋️ 전체 코드

#!/usr/bin/python3

from flask import (

Flask,

request,

render_template

)

import http.server

import threading

import requests

import os, random, base64

from urllib.parse import urlparse

 

app = Flask(__name__)

app.secret_key = os.urandom(32)

 

try:

FLAG = open("./flag.txt", "r").read() # Flag is here!!

except:

FLAG = "[**FLAG**]"

@app.route("/")

def index():

return render_template("index.html")

@app.route("/img_viewer", methods=["GET", "POST"])

def img_viewer():

if request.method == "GET":

return render_template("img_viewer.html")

elif request.method == "POST":

url = request.form.get("url", "")

urlp = urlparse(url)

if url[0] == "/":

url = "http://localhost:8000" + url

elif ("localhost" in urlp.netloc) or ("127.0.0.1" in urlp.netloc):

data = open("error.png", "rb").read()

img = base64.b64encode(data).decode("utf8")

return render_template("img_viewer.html", img=img)

try:

data = requests.get(url, timeout=3).content

img = base64.b64encode(data).decode("utf8")

except:

data = open("error.png", "rb").read()

img = base64.b64encode(data).decode("utf8")

return render_template("img_viewer.html", img=img)

local_host = "127.0.0.1"

local_port = random.randint(1500, 1800)

local_server = http.server.HTTPServer(

(local_host, local_port), http.server.SimpleHTTPRequestHandler

)

print(local_port)

def run_local_server():

local_server.serve_forever()

threading._start_new_thread(run_local_server, ())

 

app.run(host="0.0.0.0", port=8000, threaded=True)

🔎 /img_viewer

@app.route("/img_viewer", methods=["GET", "POST"])
def img_viewer():
    if request.method == "GET":
        return render_template("img_viewer.html")
    elif request.method == "POST":
        url = request.form.get("url", "")
        urlp = urlparse(url)
        if url[0] == "/":
            url = "http://localhost:8000" + url
        elif ("localhost" in urlp.netloc) or ("127.0.0.1" in urlp.netloc):
            data = open("error.png", "rb").read()
            img = base64.b64encode(data).decode("utf8")
            return render_template("img_viewer.html", img=img)
        try:
            data = requests.get(url, timeout=3).content
            img = base64.b64encode(data).decode("utf8")
        except:
            data = open("error.png", "rb").read()
            img = base64.b64encode(data).decode("utf8")
        return render_template("img_viewer.html", img=img)

 

/img_viewer 에서는 POST 요청 시 url 이라는 파라미터 값을 추출, urlparse 해서 urlp에 저장합니다. 이때 urlp의 형태는 다음과 같습니다.

 

✅ urlp의 형태

ParseResult(
    scheme='https',        # URL 스키마 (http, https 등)
    netloc='example.com',  # 네트워크 위치 (도메인 및 포트)
    path='/path',          # URL 경로
    params='',             # 경로 내 매개변수 (잘 사용되지 않음)
    query='query=123',     # 쿼리 문자열
    fragment='fragment'    # 프래그먼트 (# 뒤의 값)
)

 

url이 "/" 으로 시작하면, "http://localhost:8000" + url 형태로 url에 붙여서 요청을 보내고 data 변수에 저장, 

data는 base64로 인코딩 후 utf-8로 디코딩 해 img 변수에 저장합니다. 마지막으로 img를 return하게 됩니다. 

 

하지만 "/" 으로 시작하지 않는다면 urlp.netloc이 localhost 혹은 127.0.0.1 일 시 error.png를 data에 저장하고, 

data를 base64로 인코딩, utf-8로 디코딩해 return하게 됩니다. 

 

🔎 local_host

local_host = "127.0.0.1"
local_port = random.randint(1500, 1800)
local_server = http.server.HTTPServer(
    (local_host, local_port), http.server.SimpleHTTPRequestHandler
)
print(local_port)

 

코드에는 local_host 와 local_port를 설정하는 부분이 포함돼 있습니다.
local_host 는 127.0.0.1 로 서버 자기 자신으로 지정하고, local_port 는 1500 ~ 1800 사이의 값으로 랜덤하게 지정하는 모습입니다.

 

아마 FLAG 는 내부 서버에 위치할 것으로 추정됩니다. (SSRF 문제니까)

---

🔎 내부 PORT 찾기

 

우선 localhost 와 127.0.0.1 이라는 키워드를 필터링하고 있으므로 이 두 키워드를 사용하지 않으면서 같은 의미를 지닌 키워드를 찾아야 합니다.

 

대소문자를 구분하지 않으므로 Localhost로 우회할 수 있고, 16진수로 변환해 7F.00.00.01 으로 표현할 수도 있습니다.

또 0.0.0.0 도 사용 가능합니다.

 

저는 이번에 0.0.0.0을 사용해 보겠습니다.

 

열려있는 포트일 경우 IMG가 표시되고, 그렇지 않은 경우 NOT FOUND라는 IMG를 반환하므로 Response Length를 비교해서 열려있는 포트를 찾아 보겠습니다.

---

⚡️ Zed Attack Proxy (ZAP) 사용

 

파이썬으로 requests 모듈을 사용해 열려있는 포트를 찾을 수도 있고, Burp Suite의 Intruder 기능을 사용할 수도 있지만, 느리기 때문에 ZAP을 이용해 열려 있는 포트를 찾아보겠습니다. 

 

🚀 OWASP ZAP 이란 ?

-> Zed Attack Proxy의 약자로, 오픈 소스 웹 애플리케이션 보안 스캐너입니다. 포트 스캔, 취약점 분석, 보고서 작성, 웹 프록시 등 많은 기능이 있습니다.

 

https://www.zaproxy.org/

The ZAP Homepage

---

 

저는 파이어폭스에 프록시 설정을 해주었습니다. 

Break 기능을 사용하려면 먼저 프록시 설정이 되어있어야 하는데,

 

파이어폭스 내에서 설정 -> 네트워크 설정 -> 수동 프록시 설정  - 127.0.0.1, 포트 8081 설정해주고,

ZAP Options -> Network - Server Cerificates에서 인증서 저장 후

파이어폭스 설정 -> 개인 정보 및 보안 -> 인증서 -> 인증서 보기 -> 가져오기 에서 zap_root_ca.cer을 등록해 줍니다.

 

설정을 끝마치고

 

ZAP

 

ZAP의 화면 입니다. 상단에 보시면

 

이런 상단바 가 있는데, 첫 녹색 버튼이 Break 버튼입니다. 클릭하고 파이어폭스를 사용해보면

 

 

이렇게 요청이 잡히게 됩니다. 저기서 요청을 수정할 수 있습니다.

 

 

문제 input에 http://0.0.0.0:1500을 넣어 요청해 보았습니다. Response Length가 65121인 것을 확인할 수 있습니다.

 

여기서 우클릭 - Fuzz 하면

우클릭 - Fuzz

 

Fuzzer 창이 뜰 텐데 

 

여기서 증가하는 카운터 부분을 드래그 하고 (여기서는 1500) -> Payloads -> Add 클릭

 

Payloads

 

Type을 Numberzz로 선택하고 시작점과 출발점을 지정해주고 Start Fuzzer 를 클릭해주면

 

 

굉장히 빠르게 request를 보내는 모습을 볼 수 있습니다. response length가 특별히 짧은 1649가 랜덤하게 열린 포트겠네요.

 

response

response 입니다. base64로 인코딩되어 있는데 이를 변환하면 아래와 같습니다.

 

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01//EN" "http://www.w3.org/TR/html4/strict.dtd">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<title>Directory listing for /</title>
</head>
<body>
<h1>Directory listing for /</h1>
<hr>
<ul>
<li><a href="app.py">app.py</a></li>
<li><a href="error.png">error.png</a></li>
<li><a href="flag.txt">flag.txt</a></li>
<li><a href="requirements.txt">requirements.txt</a></li>
<li><a href="static/">static/</a></li>
<li><a href="templates/">templates/</a></li>
</ul>
<hr>
</body>
</html>

 

flag.txt 가 있으므로 http://0.0.0.0:1649/flag.txt 에 접근해보면?

 

 

Base64로 인코딩된 flag가 나오게 됩니다.