'전체 글'에 해당되는 글 1000건

wargame.kr 14번 SimpleBoard 라는 문제다.

점수는 600point!

Union SQL injection을 하라는 것 같다. 스크립트도 만들어야 할 것 같은 느낌이든다.

시작해보자.

흠...첫화면에서 조회수를 클릭하면 조회수가 1증가하는 것 같다. 소스부터 보자.

여기까진 정확히 뭘 원하는지 모르겠다.

일단 소스부터보자.

소스가 지금까지 문제들 보단 좀 복잡한 느낌이다. 캡처본 말고도 더 많은 코드가 있는데 일단 분석하면

서 중요하게 본 부분만 따왔다.

php를 따로 공부해본적이 없어서 분석하는데 꽤나 고생을 했다......

전체적인 동작은 쿠키값을 이용해 입력받은 idx 번호가 쿠키에 존재하는 값이면 조회수가 증가하지 않고

쿠키에 존재하지 않는 값이면 1증가하는 방식인 것 같다.

이 중에서

return $this->db->get_query("select * from {$this->table} where idx=$idx");

이부분이 눈길이 간다. 일단 single quote가 없다. 힌트에서도 union sql injection 쓰라 했으니 url로

가볍게 값을 넘기면 될 것 같다. 근데 아니었다. 뭔가 이상하다. 1개부터 20개까지 넣어 봤는데 무조건

에러가 뜬다. 멘붕이 오기 시작했다.

코드를 천천히 다시 분석해봤다.

public function read($idx){
            $idx = mysql_real_escape_string($idx);
            if ($this->read_chk($idx) == false){
                $this->inc_hit($idx);
            }
            return $this->db->get_query("select * from {$this->table} where idx=$idx");
        }

일단 입력 준 5 union select 1,2,3,4# 이란 코드가

return $this->db->get_query("select * from {$this->table} where idx=$idx");

에서 실행되는데는 전혀 문제가 없는 것 같다. 그렇다면 그 전에 inc_hit()함수가 호출되면서 뭔가 에러

가 생기는 것 같다.

   private function read_chk($idx){
            if(strpos($_COOKIE['view'], "/".$idx) !== false) {
                return true;
            } else {
                return false;
            }
        }

private function inc_hit($idx){
            $this->db->just_query("update {$this->table} set hit = hit+1 where idx=$idx");
            $view = $_COOKIE['view'] . "/" . $idx;
            setcookie("view", $view, time()+3600, "/SimpleBoard/");
        }
일단 inc_hit() 함수가 호출되려면 read_chk()함수가 호출되야 한다. 뭘 하는가 봤더니 쿠키값에 입력한 idx 값이 있는지를 검사한다. 값이 없어야만 조건이 성립되어 inc_hit()함수로 넘어가 조회수가 1 올라가는 형태인 것 같다. 그렇다면 내가 입력한 5 union select 1,2,3,4# 값은 당연히 쿠키에 저장이 되어 있지 않을테니 최초에 inc_hit()로 넘어갈 것이고 update문이 실행될 것이다. 문제는 여기다. 여기서 에러가 발생하는 것 같다. 그래서 다음코드로 못넘어가고 위에
 $this->db->get_query("select * from {$this->table} where idx=$idx");
부분이 실행이 안되 예상처럼 union sql injection 이 안먹히는 것 같다. php 및 디비 관련 지식이 완전하지 않고 이 문제에 대해 풀이를 여러 글들을 봤는데 잘하시는 분들한텐 너무 당연해서 딱히 설명을 안하셨는지 url로 union sql injection 값을 넘겼을 때 무조건적으로 에러가 나는 이유가 나와있지 않아서 확실한진 모르지만 스스로 분석을 해봤다.

그렇다면 이걸 바탕으로 분석해보자. 일단 위에 상태라면 쿠키값에는 update문에서의 에러 때문에 입력한 5 union select 1,2,3,4#값이 들어갈 수 가 없다. 그래서 계속 시도해봤자 저 구문에서 막히고 말 것이다. 그렇다면 쿠키값에 애초에 5 union select 1,2,3,4#값이 들어있다면?
 if ($this->read_chk($idx) == false) 부분에서 조건이 성립이 안되  inc_hit()이 실행이 안된 상태로
$this->db->get_query("select * from {$this->table} where idx=$idx"); 먹히게 된다.

자. 해야 될 건 다 끝났다 한번 생각한 것이 맞는지 시도해보자.

burp suit를 켜고 쿠키값에 /5 union select 1,2,3,4#을 넣어 준후 다시한번 url sql injection을 시도해보자.

휴... 드디어 성공.. 알고보면 정말 간단한 패턴인데 아직 웹쪽 언어에 대해 정말 많이 부족하다고 느꼈다. 근데 이게 끝이 아니다. 이제 시작... ㅎㅎ

쿠키값과 쿼리 입력 값을 맞추면 union sql injection이 가능한데 이걸 수동으로 하면 너무 오래걸리고 귀찮은 작업이다.  그래서 간단한 파이썬 스크립트를 작성했다.

이제 5 union select table_name, table_type, 3, 4 from information_schema.tables limit 1,1# 방식으로 limit 1,1 값을 하나씩 올려보자.

쭉 하다보니 40번째에서 README 라는 수상한 테이블이 발견됬다. 힘드네... 이거까지 스크립트 만들어 돌리기엔 너무 머리가 아파서 수동으로 했다. 휴... 근데 너무 뒤에나옴..ㅠ

그럼 이번엔  5 union select column_name, data_type, 3, 4 from information_schema.columns where table_name='README'# 입력해보자. 끝이 보인다...

...? 에러가 뜬다. 아.. 생각해보니 소스에서 escape했던게 기억이 난다. 'README'를 hex 값으로 바꿔 전송해보자.

 5 union select column_name, data_type, 3, 4 from information_schema.columns where table_name=0x524541444d45# 입력

flag라는 컬럼 발견.......하 다왔다 진짜.

5 union select flag, 2, 3, 4 from REAME# 입력

405cf51a2791003d336843ced53270b0f625388d
나왔다 드디어 ........... 성공!!

시작하는 단계라 문제 푸는 동안 배워야할 지식이 많아 지금까지 문제에 비해 많은 시간을 투자한 것 같다. 시간이 걸린만큼 배워가는 개념들이 많았던 문제이다. 아직 갈길이 멀다는걸 또한번 느낀 문제였다.

wargame.kr 13번 tmitter 라는 문제다.

점수는 600point!

데이터베이스 정보를 주고 이를 참고해 admin으로 로그인 하라는 것 같다. 시작해보자.

아이디를 등록하는 화면이다.

일단 admin으로 로그인 하랬으니까 admin사용자를 한번 등록해봤다.

? 이미 있다네? 그러면 sql injection으로 로그인하라는 건가..? 흠... 일단 소스부터 보자.

별다른게 없다. sql 구문도 딱히 안보이고 소스만보고는 도통 뭐하라는건지 모르겠다.

생각해보니 처음에 힌트에서 데이터베이스 테이블 구조를 알려줬었다.

admin이 등록되는 id 부분이 primary key가 아니라 별 문제없이 중복 등록이 되어야 된다고 생각했다.

근데 안된다. 데이터베이스에서 막는게 아니라면 숨겨진 php소스 어딘가에서 테이블에 값을 넣기 전에 입력된 값과 테이블에 존재하는 admin 사용자를 비교해 중복등록를 해서 막는 것 같다.  

그러면 입력된 값이 쿼리에 등록되려면 admin이라는 값과 비교할때는 다른 값으로 들어와 동일한지 체크 하는 과정을 넘어가고 쿼리에 등록될 때는 admin사용자인 것처럼 등록되록 하면 될 것 같다.

말이 쉽지 처음엔 이걸 어떤식으로 해야 될지 감이 안왔다. 일단 구글링.

찾아보니 데이터베이스에 데이터를 삽입할때 지정한 크기 이상의 값이 들어가면 초과된 부분은 잘라내고 trim함수가 적용되어 오른쪽 공백이 싹 다 날라가게 설정이 되어있단다.

이를 활용해 입력시 admin                           1이런 방식으로 지정된 크기인 32바이트까지는 공백을 주고 그 이후에 다른 값을 줘봤다. 이런식으로 등록하면 php코드 상에서 비교할 때에는 다른 값이라 체크가 통과되지만 이 값이 sql 쿼리로 넘어갈때 뒤에 초과된 부분과 공백부분이 잘려 php에서 체크하는 필터링을 우회해 중복 등록이 되는 것 같다.

전체적은 흐름은 문제에서 제공해주는 소스에는 보이지 않는 부분이라 대충 이럴거라 유추해본 거라 정확하지 않을 수 있다. 이 문제에서 원하는 핵심 포인트는 데이터베이스의 저런 특성을 알게 하는 것 인 것 같다.

php 상에서  입력값에 길이 제한을 주었기 때문에 burp suit 켰다.

id 값을 변조해서 입력

admin 존재한다는 에러화면이 아닌 정상 로그인 화면이 나타난다. 로그인 시도!

정상적으로 성공하였다. 데이터베이스에 저런 취약점이 존재하는지 새로 알게 되었다.

wargame.kr 12번 type confusioin 라는 문제다.

점수는 550point.!

읽어보니 뭔가 비교를 하라는거 같은데 type confusion 이라는 것과 관련이 있는 것 같다.

일단 시작해보자.

긴말없이 소스부터 확인해보자.

흠.. 보아하니 json 타입으로 입력받은 값을 디코딩한 후 json의 키 값과 genykey()라는 함수를 통해 sha1 방식을 통한 hash 값이 같아야 플래그 값이 얻어지는 것 같다.

따로 플래그 값을 출력해 주는 부분이 보이지 않는다.

./util.js 라는 파일이 실행되는 걸로 봐서 뭔가 있을 것 같다. 확인해보자. 

데이터를 넘길때 json 방식으로 값을 넘기고 code부분이 true가 되면 플래그 값이 출력하는 것 같다.

즉,  if ($json->key == $key) 이 부분이 참이되서 code==>true가 성립되면 플래그 값이 정상적으로 출력 되는 것 같다.

그럼 이제 저 구문을 참으로 만들어야 하는데 sha1 방식의 hash 값이랑 같은 키 값을 만드는 건 힘들어 보인다. sleep 함수로 brute force까지 차단시켜 놓았다.

type confusion라는 걸 참고하라 했으니 일단 이게 뭔지부터 찾아보자.

찾아보니 type confusion 취약점이라고 객체의 타입(type)을 혼동하여 나는 오류 및 취약점. 이란다.

그럼 ==가 php에서 느슨한 비교를 하기 때문에 json의 key값을 문자열과 ==로 비교했을때 반드시
TRUE 값이 나오는 값으로 변조해서 보내면 될 것 같다.

참고해본결과 문자열은 TRUE라는 값과 비교하면 반드시 TRUE가 된다.

자 그러면 json의 값을 변조해서 보내는 일만 남았다.

burp suite 를 키고 아무 값이나 넣어서 일단 보내보자.

..? url 인코딩된 값이 보인다. 아 소스에서 디코딩해서 썻었지.ㅎ

url 디코딩 후 보내는 키 값을 "test"에서 true로 바꿔 보냈다. 이렇게 보내게 되면 type confusion 취약

점으로 인해 ==가 느슨한 비교를 하게 되어 결과 값이 true가 되어 플래그가 얻어진다. 

성공!