[dreamhack] pathtraversal

@app.route('/get_info', methods=['GET', 'POST'])
def get_info():
    if request.method == 'GET':
        return render_template('get_info.html')
    elif request.method == 'POST':
        userid = request.form.get('userid', '')
        info = requests.get(f'{API_HOST}/api/user/{userid}').text
        return render_template('get_info.html', info=info)

@app.route('/api')
@internal_api
def api():
    return '/user/<uid>, /flag'

@app.route('/api/user/<uid>')
@internal_api
def get_flag(uid):
    try:
        info = users[uid]
    except:
        info = {}
    return json.dumps(info)

@app.route('/api/flag')
@internal_api
def flag():
    return FLAG

 

중요한 부분만 간추리면 다음과 같다.

 

flag는 /api/flag 에 존재한다고 한다

 

코드를 확인해보면, get_info를 수행할 때, {HOST}/api/user/{user_id} 를 통해 user_id에 해당 하는 파일을 불러오는 거 같다

 

그렇다면, user_id에 경로를 강제로 주입함으로써, 문제를 풀 수 있다.