R4v!dus

우리 스파이가 Etulosba CDN의 소스 코드를 훔치는 데 성공했습니다.
해당 서버에서 플래그를 가져오려면 여러분의 도움이 필요합니다.

주어진 main.js 파일 먼저 확인해보도록 하겠습니다.

main.js 파일입니다.

const fs = require("fs");
const path = require("path");
const express = require("express");

const server = express();

server.get("/", function (req, res) {
    res.end("<html><body>etulosba</body></html>");
});

server.get("/files/images/:name", function (req, res) {
    if (req.params.name.indexOf(".") === -1) {
        return res.status(400).json({ error: "invalid file name" });
    }

    res.sendFile(__dirname + path.join("/files/images/", req.params.name));
});

server.get("/files/binary/:name", function (req, res) {
    if (req.params.name.indexOf(".") !== -1) {
        return res.status(400).json({ error: "invalid file name" });
    }

    res.sendFile(path.resolve(__dirname, "/files/binary/", req.params.name));
});

fs.writeFileSync(path.join(__dirname, "flag.name"), process.env.FLAG_NAME);
fs.writeFileSync(path.join("/tmp", process.env.FLAG_NAME), process.env.FLAG);

server.listen(process.env.HTTP_PORT);

특정 주소로부터 flag.name 파일을 가져와야 하고 후에 값을 사용하여 /tmp 안에 있는 플래그 파일을 가져올 수 있습니다.

think1  이는 LFI를 이용하는 문제로 보입니다. 우선적으로 /files/images/에서 파일을 획득해야됩니다.

약간의 조건이 걸려 있습니다. 

/files/images/:name

위 형식을 유지해야 하며 indexof의 결과 값 즉, 일치하는 결과 값이 없어 -1이 나오게 하면 error을 뿜습니다.

때문에 아래와 같이 위 형식을 유지하되 index of('.')를 우회 하도록 하여야합니다.

/files/images/%2E%2E%2F%2E%2E%2Fflag%2Ename

그럴 경우 txt 하나를 획득하게 됩니다.

think2  이제 폴더명을 획득했으니 위와 유사한 방식으로 /files/binary/에서 파일을 획득해야됩니다.

/tmp 파일 안에 있다고 위에서 언급했으니 다음과 같은 url을 입력해줍니다.

/files/binary%2Ftmp%2Fimaflagimaflag

그 결과 아래와 같이 flag를 획들할수 있었습니다.