보안이야기

Webhacking.kr 31번 문제풀이

안녕하세요. 웹 해킹 31번 문제풀이 하겠습니다. 얼마 지나지 않아 Connection timed out이 나오면서 port: 10023이 지정되고 경고 메시지가 나옵니다. 문제의 소스코드를 보고 해결방안을 생각해보면, - 10000 ~ 10100포트 중 랜덤 하게 소켓에 전달 - 포트포워딩을 통해 외부에서 10000~10100 포트로 접근하면 내부 포트를 단일포트로 지정 - netcat(nc)프로그램을 사용하여 모든 요청을 Listening 하여 문제 해결 - LG 공유기 포트포워딩 ( 외부 (10000 ~ 10010) -> 내부(10000) ) 설정) - netcat 설정 eternallybored.org/misc/netcat/ netcat 1.11 for Win32/Win64 eternallybor..

Webhacking.kr 29번 문제풀이

안녕하세요. 웹 해킹 29번 문제풀이 하겠습니다. 우선, test 파일을 업로드하였을 때 "Upload success"가 나오는 것으로 보아 파일 업로드 취약점으로 접근하면 안 될 거 같습니다. 우리는 FLAG값을 알아야하는데 "FLAG is in another table"인 것으로 보아 FLAG값이 다른 테이블에 있고 그 테이블을 찾으면 될 거 같습니다. 우리는 다른 테이블에 있는 FLAG값을 알아내기 위해 SQL 인젝션을 시도해 보겠습니다. 우선, 버프스위트를 사용하여 time / ip / file이 insert 되는 순서를 알아보겠습니다. INSERT INTO 테이블명 VALUES 가 다중으로 데이터를 넣을 수 있는 특징이 있기에, 이 결과를 이용해 탐색해보겠습니다. ex ) INSERT INTO ..

Webhacking.kr 28번 문제풀이

안녕하세요. 웹 해킹 28번 문제풀이 하겠습니다. 문제를 보면 미션이 flag.php를 읽기네요. 여기서 주의할 점이 실행이 아닌 읽기 라는것 입니다. 그렇다면 어떻게 파일을 읽을 수 있을까요? 우선적으로 파일의 권한을 변경해줘야 한다고 생각했습니다. .htaccess 취약점을 이용하여 php실행 권한을 제거해주면 됩니다. .htaccess hypertext의 약자로 앞의 .은 숨긴 파일을 뜻한다. .htaccess는 Apache가 기능을 사용 가능 또는 사용 불가능으로 설정하거나 특정 조건이 충족될 때 특정 작업을 실행하기 위한 매개 변수를 설정합니다. 예를 들어, 파일에 포함된 지침에 따라 Apache는 웹 사이트 방문자가 존재하지 않는 리소스를 찾는 경우 사용자 정의 오류 페이지를 자동으로 로드할 ..

Webhacking.kr 27번 문제풀이

안녕하세요. 웹 해킹 27번 문제풀이 하겠습니다. 문제의 소스코드를 확인해보면, - if(preg_match("/#|select|\(| |limit|=|0x/i",$_GET['no'])) exit("no hack"); -> preg_match 함수를 통해 select, limit등 문자열을 필터링하고 no hack을 출력하고 있습니다. - $r=mysqli_fetch_array(mysqli_query($db,"select id from chall27 where id='guest' and no=({$_GET['no']})")) or die("query error"); -> chall27 테이블에서 가져온 id를 가져오는데 id의 no가 guest가 아닐경우 "query error"를 출력하고 종료합니다. ..

Webhacking.kr 26번 문제풀이

안녕하세요. 웹 해킹 26번 문제풀이 하겠습니다. 코드를 보면 GET방식으로 id 값이 admin일 경우 문제가 해결되는 걸 알 수 있고 GET방식으로 전달받은 id값을 urldecode 해서 다시 id값에 넣고 있는 걸 알 수 있습니다. 그렇다면, admin값을 urlencode(%61%64%6d%69%6e)해서 id값을 GET방식으로 전달해보겠습니다. "no!"가 출력되네요.. 이유가 뭘까요? 이유는? 웹 서버와 브라우저 간의 통신에서, 브라우저는 폼에서 입력받은 데이터를 자동으로 인코딩한 값을 PHP 서버로 전송하고, PHP는 서버에서 전달받은 인코딩 된 값을 자동으로 디코딩하기 때문입니다. 결국, admin을 2번 urlencode(%2561%2564%256d%2569%256e)하면 문제를 해결할..

Webhacking.kr 25번 문제풀이

안녕하세요. 웹 해킹 25번 문제풀이 하겠습니다. 문제를 보면 파일 및 디렉토리 항목과 "hello world" 문구가 보입니다. URI 경로가 file=hello인것으로 보아 hello.php가 실행된것을 추측할 수 있습니다. 그렇다면, URI경로를 file=flag로 변경하여 flag.php도 실행해 보겠습니다. "FLAG is in the code"라는 문구를 보아 FLAG값이 code 안에 있다는 내용인거 같다. 우리는 code를 찾아 내야하는데 이 문제에서는 LFI(Local File Inclusion) 취약점을 생각하여 flag.php 파일에 접근할 수 있을것이다. LFI(Local File Inclusion): 파일이 공격대상 서버에 위치하여 해당 파일에 접근하는 취약점 우리는 취약점도 알아..

Webhacking.kr 24번 문제풀이

안녕하세요. 웹 해킹 24번 문제풀이 하겠습니다. 문제를 보면 client ip와 agent가 나오는 것을 볼 수 있습니다. 소스를 확인해보겠습니다. 소스코드를 보면 문제는 Loopback IP(127.0.0.1)로 변경하면 문제가 풀린다는것을 알 수 있고, str_replace로 문자가 변환되는것을 볼 수 있습니다. ".." -> "." "12" -> "" "7." -> "" "0." -> "" 그렇다면, 우리는 127.0.0.1을 조합하기 위해 PHP Tester를 사용해보겠습니다. phptester.net/ PHPTESTER - Test PHP code online This application is free so please don't break it! Contact :phptester.net@g..

Webhacking.kr 23번 문제풀이

안녕하세요. 웹 해킹 23번 문제풀이 하겠습니다. 해당 문제에서 힌트는 "Your mission is to inject "가 보입니다. 1. get방식으로 를 넣어보면 no hack이 나오는 것을 볼 수 있습니다. 2. get방식으로 sc를 넣어보면 no hack이 나오는 것을 볼 수 있습니다. 3. get방식으로 s를 넣어보면 그대로 출력되는 것을 볼 수 있습니다. -> 우리는 여기서 문자열이 2개이상이면 필터링 된다는 것을 알 수 있고, 이것을 우회하면 될 것이라는 생각을 할 수 있습니다. 4. 그렇다면 문자열 사이에 공백인 NULL에 URL 인코딩 값인 %00을 넣어보면 문자열이 그대로 출력되는것을 볼 수있습니다. 5. 결국 를 URL 인코딩 후 문자열 사이사이에 %00을 넣어주면 해결 되는 것을 ..

Webhacking.kr 22번 문제풀이

안녕하세요. 웹 해킹 22번 문제풀이 하겠습니다. username: admin ' or 1=1 # login -> Wrong password! username: admin 'and 1=2 # login -> Login fail ! -> 이 문제는 참과 거짓의 결과 값을 사용한 Blind SQL Injection 문제이고, admin계정의 pw를 찾으면 문제를 해결할 수 있을 거 같습니다. pw를 알아내기 위해 파이썬 코드를 사용해보겠습니다. import requests url = 'https://webhacking.kr/challenge/bonus-2/index.php' cookies = {'PHPSESSID':'s2o4ff27o3c26mco476599choq'} pw_length ="" pw ="" #..

Webhacking.kr 21번 문제풀이

안녕하세요. 웹 해킹 21번 문제풀이 하겠습니다. Blind SQL INJECTION을 사용해서 문제를 풀 수 있을 거 같습니다. Blind SQL INJECTION: 참과 거짓의 결과 값을 사용하여 DB구조를 알아내는 기법 1. id: guest / pw: guest -> login success 2. id: guest / pw: ' or 1=1 # -> wrong password id: guest / pw: ' or 1=2 # -> login fail 올바른 쿼리 값을 입력하면 "wrong password" 올바르지 않은 쿼리 값을 입력하면 "login fail"이 나오는 것을 볼 수 있다. 결국 우리는 참과 거짓의 결과 값이 다른 것을 보아 Blind SQL INJECTION을 시도할 수 있는 것을..