보안이야기

Webhacking.kr 50번 문제풀이

안녕하세요. 웹 해킹 50번 문제풀이 하겠습니다. 문제를 확인해보면, SQL INJECTION 관련 문제인 것을 알 수 있습니다. 소스코드를 확인해보겠습니다. 위 소스코드에서 addslashes 함수는 매개변수로 넘겨준 문자열 안에 single quote(') 혹은 double quote("), 백슬래쉬(\), NULL 바이트등 특수문자 앞에 역슬래시(\)를 추가해주는 함수입니다. mb_covert_encoding 함수를 통해 id 값을 'euc-kr'에서 'utf-8'로 인코딩 해주고 있습니다. 또한, from, pw, 공백등 문자열이 필터링되고 id는 union이 추가적으로 필터링 되고 있습니다. 우리는 최종적으로 쿼리가 lv=3일때, 문제를 해결할 수 있습니다. 그렇다면 쿼리를 lv=3으로 만드는 ..

Webhacking.kr 49번 문제풀이

안녕하세요. 웹 해킹 49번 문제풀이 하겠습니다. 문제를 보면, SQL INJECTION 관련 문제인 것을 추측할 수 있습니다. 소스코드를 확인해보겠습니다. 소스코드에서 preg_match 함수를 통해 select, or, and등 SQL INJECTION에 필요한 문자열들을 필터링 해놓은것을 알 수 있습니다. select id from chall49 where lv={$_GET['lv']} 우리는 빨간 부분에 필터링해놓은 문자열을 우회하여 id=admin을 만들면 문제를 해결할 수 있습니다. 즉, select id from chall49 where lv=0 || id='admin' 을 만들면 된다. or은 필터링 되니 -> ||로 우회하고admin은 -> 16진수로 변환하여 0x61646d696e로 우..

[Wargame] md5 password

안녕하세요. 워 게임 md5 password 문제 풀이 하겠습니다. 해당 문제의 소스코드를 보면, admin_password 테이블의 password 값에 md5 해시 값을 row 변수에 저장한다. isset($row[0])가 true일 경우 Password 값을 출력해주고 있습니다. 이 문제는 md5의 취약점을 알고 문제의 적용할 수 있는지를 묻고 있습니다. md5 함수는 인자로 들어온 문자열을 md5 해시하여 32bytes 길이로 반환합니다. 두 번째 인자는 이는 raw_output에 해당하는 옵션입니다. raw_output 옵션의 default는 False 이며 Hex값을 출력하고, True로 주게된다면 32bytes 길이의 Hex 값을 16bytes의 바이너리 값으로 반환해줍니다. raw_outp..

[Wargame] strcmp

안녕하세요. 워 게임 strcmp 문제풀이 하겠습니다. strcmp(문자열1, 문자열2) 함수는 두 개의 문자열을 비교하는 함수입니다. -1: ASCII 코드 기준으로 문자열2가 클 때 0: ASCII 코드 기준으로 두 문자열이 같을 때 1: ASCII 코드 기준으로 문자열1이 클 때 소스코드를 보면, 문제를 해결하기 위해서는 strcmp의 결과 값이 0이 출력되어야 합니다. 그러면 어떻게 결과 값을 0을 만들 수 있을까요? 특정 PHP 버전에서 strcmp함수에 취약점이 존재합니다. strcmp(문자열, 배열) 시에 NULL을 반환하여 느슨한 비교(==)를 했을 경우 인증이 우회가 됩니다. 개발자 도구에서 password[]로 코드를 수정 후 임의의 값을 전송해주면, password는 NULL값이 되고..

[Wargame] fly me to the moon

안녕하세요. 워 게임 fly me to the moon 문제 풀이 하겠습니다. 문제를 보면, CLICK TO START를 누르면 비행기가 움직이면서 초록색 을 피하면 스코어가 올라가고 초록색에 닿으면 YOU NEED GET THE SCORE 31337이라는 문구가 나오면서 게임이 종료되는 것을 볼 수 있습니다. 소스코드를 보면, 난독화된 자바스크립트 코드를 볼 수 있습니다. 이 소스코드를 Butifier로 정리해보면, function secureGame() { var _0x8618x2 = this; var _0x8618x3 = true; function _0x8618x4() { _0x8618x3 = false; return true }; function _0x8618x5() { return _0x8618..

Webhacking.kr 48번 문제풀이

안녕하세요. 웹 해킹 48번 문제풀이 하겠습니다. 문제를 확인해보면, 업로드 취약점이 있을 거라고 예상이 됩니다. test.txt 파일을 생성 후 test를 Send 해보겠습니다. [Upload file]을 누르면 test.txt에 적힌 내용을 볼 수 있고, [Delete]를 누르면 file deleted. 출력 후 파일이 삭제되는 것을 볼 수 있습니다. 이 문제에 대한 접근은 파일 업로드 취약점으로 접근하는 것이 아닌 거 같습니다. 그러한 이유는 php 파일을 업로드해도 파일 안에 내용이 텍스트로 출력하는 것을 확인할 수 있습니다. 그렇다면, 해당 문제에 대한 접근을 파일을 Delete 할 경우 파일이 삭제되는 것에 대해서 접근해보겠습니다. 리눅스 OS를 사용하는 경우 세미콜론(;)을 사용해서 명령어를..

[Wargame] WTF_CODE

안녕하세요. 워 게임 WTF_CODE 문제풀이 하겠습니다. 문제의 파일을 다운로드 받아 메모장으로 실행 시켜 보면 아무것도 적혀 있지 않은데 드래그 해보면 무언가 적혀 있는것을 알 수 있습니다. WS확장자로 만들어진 파일은 Whitespace Programming Language로 만들어진 파일입니다. 화이트스페이스(Whitespace)는 에드윈 브래디(Edwin Brady)와 크리스 모리스(Chris Morris, cim)가 2003년 4월 1일(만우절)에 발표한 난해한 프로그래밍 언어이다. 문법에는 오로지 공백과 탭, 그리고 개행 문자만이 의미가 있으며, 인터프리터는 이 3종류의 공백 문자를 뺀 모든 문자를 무시한다. 하기 사이트에서 Whitespace 언어를 디코딩 해보면, Ideone.com Id..

[Wargame] login filtering

안녕하세요. 워 게임 login filtering 문제풀이 하겠습니다. 문제를 보면 계정을 가지고 있지만, 막혔고 우회를 해달라고 합니다. 소스코드를 보면, ID PW get source [line: 62 ~ 64] guest / guest, blueh4g / blueh4g1234ps 계정을 가지고 있는데 blocked이 되고 있습니다. [line: 30 ~ 40] - id가 guest OR blueh4g 일 경우 your account is blocked 메시지를 출력하고 있습니다. - 그 외에 경우에는 login ok와 password에 key값을 출력해주고 있습니다. - 그렇다면, id를 guest를 Guest / guest로 우회해서 로그인 시도해보겠습니다. 이렇게 우회를 시도한 이유는 Defau..

[Wargame] QR CODE PUZZLE

안녕하세요. 워 게임 QR CODE PUZZLE 문제풀이 하겠습니다. 문제를 확인 시 순서가 섞인 QR Code가 나오고 있습니다. 소스코드를 확인해보면, $('#join_img').attr('src',unescape('.%2f%69%6d%67%2f%71%72%2e%70%6e%67')); -> 해당 부분이 문제의 Key point입니다. 이미지의 소스 값을 변경해주는 코드입니다. 콘솔을 사용해서 해당 소스코드를 실행해보면 QR img의 경로가 나옵니다. 해당 경로로 이동해보면(wargame.kr:8080/qr_code_puzzle/img/qr.png) 정상적인 QR Code 이미지가 나옵니다. 해당 이미지를 핸드폰 카메라를 사용하여 접속해보면 FLAG값이 나오는 걸 확인할 수 있습니다. 해당 FLAG값을..

Webhacking.kr 47번 문제풀이

안녕하세요. 웹 해킹 47번 문제풀이 하겠습니다. Mail subject가 47번 문제에 대한 Flag값에 대한 내용입니다. send를 눌러 보면 그에 대한 내용이 나오고 있습니다. SMTP Error: Could not authenticate. - gsmtp -> Error 때문에 운영자에게 문의해본 결과 지슈트에 돈을 안내서 메일 사용이 지금 불가능 하다고 하십니다. 조만간 해결하실 예정이시라고 하시니까 참고 해주세요.