'Wargame/wargame.kr'에 해당되는 글 36건

wargame.kr 16번 pyc decompile 풀이

점수는 650 point.!

pyc형식에 파일을 디컴파일 하라는 것 같다. 시작해보자.

파일을 먼저 다운로드 받자.

먼저 pyc라는 형식은 처음봤는데 찾아보니 파이썬 소스코드르 숨기고 import 시 속도 향상을 시켜줄 수 있는 파이썬 파일 인 것 같다.

그럼 이제 디컴파일 해주는 프로그램을 통해 소스를 확인하자.

흠.. 생각보다 간단한데? 현재 시간을 가지고 구한 값을 플래그 값으로 서버로 넘기면 될 것 같다.

GIVE_ME_FLAG()가 호출되면 ok값을 리턴하도록 수정하고 쿼리를 줘봤다.

...? 왜...? 

시도해보니 실패했다고 알려준다. ..? 문제가 없는데.. 뭔가하다 자세히 보니 로컬시간이랑 서버에서의

시간이 11분 정도 차이가 났다. 코드를 수정해 봤다.

다시 한번 시도해 봤다.

성공! 이전 문제에서 애썻던거에 비하면 너무쉽게 해결한 문제였다. 뭔가 허무...?

어쨌든 다음으로 넘어가 보자.

wargame.kr 15번 web chatting 이라는 문제다.

점수는 650 point! 점수가 올랐다. 이전문제에서 애를 좀 썻는데 이번에도 뭔가 만만치 않을 것 같다.

흠.. 일단 SQLi 문제인 것 같다. 개발자의 관점에서 트래픽을 줄일 수 있도록 설정하라는 것 같다.

긴말말고 시작해보자.

들어가보면 간단한 채팅 프로그램이 나온다.

sql injection을 하랬는데 아직까진 딱히 감이 오지는 않는다. 소스부터 확인해보자.

흠.. 보아하니 xml http 사용해 ajax를 구현한 것 같다.

자 천천히 분석을 시작해보자.

 function getchatlog(type){
  xmlhttp = new XMLHttpRequest();
  if(type==1){xmlhttp.onreadystatechange=getni;xmlhttp.open("GET","chatlog.php?t=1");
  }else if(type==2){xmlhttp.onreadystatechange=chatprint;xmlhttp.open("GET","chatview.php?t=1&ni="+ni);}
  xmlhttp.send(null);
 }

일단 chatlog.php?t=1 로 값을 넘기는 게 보인다. 일단한번 들어가보자.

일단 뭔진 모르겠지만 무슨 값이 보인다.

xmlhttp.onreadystatechange=getni를 통해 데이터 넘기고 응답값을 받는 부분을 확인해 봤다.

function getni(){
  if(xmlhttp.readyState==4 && xmlhttp.status==200){
   var tni=parseInt(xmlhttp.responseText);
   if(tni!=ni && iq!=0){getchatlog(2);}
   ni=tni;iq=1;
  }
 }

응답시 실행되는 getni함수를 통해

xmlhttp.open("GET","chatview.php?t=1&ni="+ni) 부분이 호출되고 ni값으로 대충
chatlog.php?t=1 입력했을때 출력된 값이 들어가는 걸로 보인다.

확실하진 않지만 일단 한번 chatview.php?t=1&ni="+ni 로 입력해봤다.

...? 틀린 것 같다 아무것도 출력이 안된다.

뭘까.. 저 숫자가..... 한참 고민하다 채팅을 하나더 쳐봤다.

그리고 다시 들어가보니 숫자가 1이 늘어있다.

뭔가 채팅이 저장된 마지막 번호 같은데 쿼리로 입력해봐도 별 다른 출력이 없어 멘붕....

이것 저것 해보다 ni입력값을 출력된 번호보다 낮게 입력했더니 다음과 같이 이전에 썻던 채팅 목록이 나온다.

 

대충 sql문이 어떤식으로 만들어 졌는지 감이 온다.

select * from table_name where ni > $_GET[ni] 이런식으로 출력되는 것 같다.

그러면 여기서 t=1&ni=22148 or 1=1 # 이런식으로 입력이 가능해 보인다.

모든 값이 출력된다.

union sql injection이 가능할 것 같다.

이것 저것 시도해보다 필드가 5개일때 정상 출력되는 걸 확인할 수 있었다. 주석처리가 #은 안먹히고 --은 먹히는걸 확인 할 수 있었다.

t=1&ni=22148 union select 1234567891011,1234567891011,1234567891011,1234567891011,1234567891011 --

라고 쿼리를 주고 전체 페이지에서 1234567891011을 검색해 봤다.

화면 맨 밑에 3개의 필드가 표시되는걸 볼 수 있었다. 다시한번 정확한 위치 확인을 위해

t=1&ni=22148 union select 1,2,3,4,5 -- 로 다시 쿼리를 줬다.

2,3,5번째 필드를 통해 플래그 값을 구할 수 있을 것 같다.

먼저 플래그가 있을만한 테이블부터 찾아보자.

t=1&ni=22148 union select 1,table_name, 3,4,5 from information_schema.tables  --

쿼리를 줘보니

chat_log_secret이라는 수상한 테이블이름이 보인다.

다음으로 컬럼을 확인해보자.

t=1&ni=22148 union select 1,column_name, 3,4,5 from information_schema.columns --

쿼리를 줘보니

readme라는 익숙한 필드가 보인다.

이제 테이블과 필드를 가지고 플래그값을 구해보자.

t=1&ni=22148 union select 1,README,3,4,5 from chat_log_secret --

성공 !!

xml http 형식의 ajax 코드를 처음봐서 처음에 살짝 당황했던 문제.

wargame.kr 14번 SimpleBoard 라는 문제다.

점수는 600point!

Union SQL injection을 하라는 것 같다. 스크립트도 만들어야 할 것 같은 느낌이든다.

시작해보자.

흠...첫화면에서 조회수를 클릭하면 조회수가 1증가하는 것 같다. 소스부터 보자.

여기까진 정확히 뭘 원하는지 모르겠다.

일단 소스부터보자.

소스가 지금까지 문제들 보단 좀 복잡한 느낌이다. 캡처본 말고도 더 많은 코드가 있는데 일단 분석하면

서 중요하게 본 부분만 따왔다.

php를 따로 공부해본적이 없어서 분석하는데 꽤나 고생을 했다......

전체적인 동작은 쿠키값을 이용해 입력받은 idx 번호가 쿠키에 존재하는 값이면 조회수가 증가하지 않고

쿠키에 존재하지 않는 값이면 1증가하는 방식인 것 같다.

이 중에서

return $this->db->get_query("select * from {$this->table} where idx=$idx");

이부분이 눈길이 간다. 일단 single quote가 없다. 힌트에서도 union sql injection 쓰라 했으니 url로

가볍게 값을 넘기면 될 것 같다. 근데 아니었다. 뭔가 이상하다. 1개부터 20개까지 넣어 봤는데 무조건

에러가 뜬다. 멘붕이 오기 시작했다.

코드를 천천히 다시 분석해봤다.

public function read($idx){
            $idx = mysql_real_escape_string($idx);
            if ($this->read_chk($idx) == false){
                $this->inc_hit($idx);
            }
            return $this->db->get_query("select * from {$this->table} where idx=$idx");
        }

일단 입력 준 5 union select 1,2,3,4# 이란 코드가

return $this->db->get_query("select * from {$this->table} where idx=$idx");

에서 실행되는데는 전혀 문제가 없는 것 같다. 그렇다면 그 전에 inc_hit()함수가 호출되면서 뭔가 에러

가 생기는 것 같다.

   private function read_chk($idx){
            if(strpos($_COOKIE['view'], "/".$idx) !== false) {
                return true;
            } else {
                return false;
            }
        }

private function inc_hit($idx){
            $this->db->just_query("update {$this->table} set hit = hit+1 where idx=$idx");
            $view = $_COOKIE['view'] . "/" . $idx;
            setcookie("view", $view, time()+3600, "/SimpleBoard/");
        }
일단 inc_hit() 함수가 호출되려면 read_chk()함수가 호출되야 한다. 뭘 하는가 봤더니 쿠키값에 입력한 idx 값이 있는지를 검사한다. 값이 없어야만 조건이 성립되어 inc_hit()함수로 넘어가 조회수가 1 올라가는 형태인 것 같다. 그렇다면 내가 입력한 5 union select 1,2,3,4# 값은 당연히 쿠키에 저장이 되어 있지 않을테니 최초에 inc_hit()로 넘어갈 것이고 update문이 실행될 것이다. 문제는 여기다. 여기서 에러가 발생하는 것 같다. 그래서 다음코드로 못넘어가고 위에
 $this->db->get_query("select * from {$this->table} where idx=$idx");
부분이 실행이 안되 예상처럼 union sql injection 이 안먹히는 것 같다. php 및 디비 관련 지식이 완전하지 않고 이 문제에 대해 풀이를 여러 글들을 봤는데 잘하시는 분들한텐 너무 당연해서 딱히 설명을 안하셨는지 url로 union sql injection 값을 넘겼을 때 무조건적으로 에러가 나는 이유가 나와있지 않아서 확실한진 모르지만 스스로 분석을 해봤다.

그렇다면 이걸 바탕으로 분석해보자. 일단 위에 상태라면 쿠키값에는 update문에서의 에러 때문에 입력한 5 union select 1,2,3,4#값이 들어갈 수 가 없다. 그래서 계속 시도해봤자 저 구문에서 막히고 말 것이다. 그렇다면 쿠키값에 애초에 5 union select 1,2,3,4#값이 들어있다면?
 if ($this->read_chk($idx) == false) 부분에서 조건이 성립이 안되  inc_hit()이 실행이 안된 상태로
$this->db->get_query("select * from {$this->table} where idx=$idx"); 먹히게 된다.

자. 해야 될 건 다 끝났다 한번 생각한 것이 맞는지 시도해보자.

burp suit를 켜고 쿠키값에 /5 union select 1,2,3,4#을 넣어 준후 다시한번 url sql injection을 시도해보자.

휴... 드디어 성공.. 알고보면 정말 간단한 패턴인데 아직 웹쪽 언어에 대해 정말 많이 부족하다고 느꼈다. 근데 이게 끝이 아니다. 이제 시작... ㅎㅎ

쿠키값과 쿼리 입력 값을 맞추면 union sql injection이 가능한데 이걸 수동으로 하면 너무 오래걸리고 귀찮은 작업이다.  그래서 간단한 파이썬 스크립트를 작성했다.

이제 5 union select table_name, table_type, 3, 4 from information_schema.tables limit 1,1# 방식으로 limit 1,1 값을 하나씩 올려보자.

쭉 하다보니 40번째에서 README 라는 수상한 테이블이 발견됬다. 힘드네... 이거까지 스크립트 만들어 돌리기엔 너무 머리가 아파서 수동으로 했다. 휴... 근데 너무 뒤에나옴..ㅠ

그럼 이번엔  5 union select column_name, data_type, 3, 4 from information_schema.columns where table_name='README'# 입력해보자. 끝이 보인다...

...? 에러가 뜬다. 아.. 생각해보니 소스에서 escape했던게 기억이 난다. 'README'를 hex 값으로 바꿔 전송해보자.

 5 union select column_name, data_type, 3, 4 from information_schema.columns where table_name=0x524541444d45# 입력

flag라는 컬럼 발견.......하 다왔다 진짜.

5 union select flag, 2, 3, 4 from REAME# 입력

405cf51a2791003d336843ced53270b0f625388d
나왔다 드디어 ........... 성공!!

시작하는 단계라 문제 푸는 동안 배워야할 지식이 많아 지금까지 문제에 비해 많은 시간을 투자한 것 같다. 시간이 걸린만큼 배워가는 개념들이 많았던 문제이다. 아직 갈길이 멀다는걸 또한번 느낀 문제였다.

wargame.kr 13번 tmitter 라는 문제다.

점수는 600point!

데이터베이스 정보를 주고 이를 참고해 admin으로 로그인 하라는 것 같다. 시작해보자.

아이디를 등록하는 화면이다.

일단 admin으로 로그인 하랬으니까 admin사용자를 한번 등록해봤다.

? 이미 있다네? 그러면 sql injection으로 로그인하라는 건가..? 흠... 일단 소스부터 보자.

별다른게 없다. sql 구문도 딱히 안보이고 소스만보고는 도통 뭐하라는건지 모르겠다.

생각해보니 처음에 힌트에서 데이터베이스 테이블 구조를 알려줬었다.

admin이 등록되는 id 부분이 primary key가 아니라 별 문제없이 중복 등록이 되어야 된다고 생각했다.

근데 안된다. 데이터베이스에서 막는게 아니라면 숨겨진 php소스 어딘가에서 테이블에 값을 넣기 전에 입력된 값과 테이블에 존재하는 admin 사용자를 비교해 중복등록를 해서 막는 것 같다.  

그러면 입력된 값이 쿼리에 등록되려면 admin이라는 값과 비교할때는 다른 값으로 들어와 동일한지 체크 하는 과정을 넘어가고 쿼리에 등록될 때는 admin사용자인 것처럼 등록되록 하면 될 것 같다.

말이 쉽지 처음엔 이걸 어떤식으로 해야 될지 감이 안왔다. 일단 구글링.

찾아보니 데이터베이스에 데이터를 삽입할때 지정한 크기 이상의 값이 들어가면 초과된 부분은 잘라내고 trim함수가 적용되어 오른쪽 공백이 싹 다 날라가게 설정이 되어있단다.

이를 활용해 입력시 admin                           1이런 방식으로 지정된 크기인 32바이트까지는 공백을 주고 그 이후에 다른 값을 줘봤다. 이런식으로 등록하면 php코드 상에서 비교할 때에는 다른 값이라 체크가 통과되지만 이 값이 sql 쿼리로 넘어갈때 뒤에 초과된 부분과 공백부분이 잘려 php에서 체크하는 필터링을 우회해 중복 등록이 되는 것 같다.

전체적은 흐름은 문제에서 제공해주는 소스에는 보이지 않는 부분이라 대충 이럴거라 유추해본 거라 정확하지 않을 수 있다. 이 문제에서 원하는 핵심 포인트는 데이터베이스의 저런 특성을 알게 하는 것 인 것 같다.

php 상에서  입력값에 길이 제한을 주었기 때문에 burp suit 켰다.

id 값을 변조해서 입력

admin 존재한다는 에러화면이 아닌 정상 로그인 화면이 나타난다. 로그인 시도!

정상적으로 성공하였다. 데이터베이스에 저런 취약점이 존재하는지 새로 알게 되었다.

wargame.kr 12번 type confusioin 라는 문제다.

점수는 550point.!

읽어보니 뭔가 비교를 하라는거 같은데 type confusion 이라는 것과 관련이 있는 것 같다.

일단 시작해보자.

긴말없이 소스부터 확인해보자.

흠.. 보아하니 json 타입으로 입력받은 값을 디코딩한 후 json의 키 값과 genykey()라는 함수를 통해 sha1 방식을 통한 hash 값이 같아야 플래그 값이 얻어지는 것 같다.

따로 플래그 값을 출력해 주는 부분이 보이지 않는다.

./util.js 라는 파일이 실행되는 걸로 봐서 뭔가 있을 것 같다. 확인해보자. 

데이터를 넘길때 json 방식으로 값을 넘기고 code부분이 true가 되면 플래그 값이 출력하는 것 같다.

즉,  if ($json->key == $key) 이 부분이 참이되서 code==>true가 성립되면 플래그 값이 정상적으로 출력 되는 것 같다.

그럼 이제 저 구문을 참으로 만들어야 하는데 sha1 방식의 hash 값이랑 같은 키 값을 만드는 건 힘들어 보인다. sleep 함수로 brute force까지 차단시켜 놓았다.

type confusion라는 걸 참고하라 했으니 일단 이게 뭔지부터 찾아보자.

찾아보니 type confusion 취약점이라고 객체의 타입(type)을 혼동하여 나는 오류 및 취약점. 이란다.

그럼 ==가 php에서 느슨한 비교를 하기 때문에 json의 key값을 문자열과 ==로 비교했을때 반드시
TRUE 값이 나오는 값으로 변조해서 보내면 될 것 같다.

참고해본결과 문자열은 TRUE라는 값과 비교하면 반드시 TRUE가 된다.

자 그러면 json의 값을 변조해서 보내는 일만 남았다.

burp suite 를 키고 아무 값이나 넣어서 일단 보내보자.

..? url 인코딩된 값이 보인다. 아 소스에서 디코딩해서 썻었지.ㅎ

url 디코딩 후 보내는 키 값을 "test"에서 true로 바꿔 보냈다. 이렇게 보내게 되면 type confusion 취약

점으로 인해 ==가 느슨한 비교를 하게 되어 결과 값이 true가 되어 플래그가 얻어진다. 

성공! 

wargame.kr 11번 strcmp 라는 문제다.

점수는 한단계 오른 550point!

흠... 보아하니 strcmp 함수의 취약점을 가지고 우회를 하란소리인거 같다. 시작해보자.

소스부터 확인해보자.

if (strcmp($_POST['password'], $password) == 0)

이 부분이 핵심 소스 인 것 같다.

이 부분이 성립하게 하려면  입력받은 password 값이 더미 파일로 랜덤하게 돌린 md5, sha1 방식의 암호화를 거친 값과 같아야하는데 sleep 함수로 brute force 공격까지 막고 있고 또 그렇게 풀라고 하는 문제인 것 같지도 않다.

뭔가 strcmp 함수자체에 취약점이 있을 것 같다. php strcmp 취약점으로 구글링을 해보았다.

lucky!! 역시나 php 5.3버전에서 함수의 인자값으로 배열을 주게되면 리턴 값이 0이 되어 두 값이 동일

할 때와 같아져 비밀번호를 몰라도 우회가 가능하게 된다.


그러면 입력 값을 배열값으로 바꿔 넘기면 자연스럽게 클리어가 될 것 같은 느낌이 든다.

burp suite를 켜서 한번 시도해보자.

맨 밑에 password 값을 넘길때 변수를 배열로 바꿔 배열값으로 넘겼다.

성공! 점수가 올라서 살짝 긴장했는데 비교적 간단했던 문제였다.

wargame.kr 9번 md5 password 라는 문제다.

점수는 500 point!

흠.. md5랑 관련이 있는 것 같다. 근데 true라는 옵션은 처음본다. 일단 시작해보자.

흠... 일단 소스부터 확인해보자.

.md5($ps,true) 부분에서 sql 취약점을 찾아야할 것 같다.

일단 true란 옵션은 처음보니 이것부터 알아보도록 하자.

오호.. 찾아보니 출력 값을 기존의 16진수로 출력하는 방식이 아닌 바이너리 형태로 출력한다고 한다.

그렇다면 바이너리 형태로 출력됬을때 ' or '1'='1 같은 sql injection을 발생시키는 md5 hash 값을 찾

아내면 될거라는 결론이 나온다.

검색을 통해 찾아보니  129581926211651571912466741651878684928 라는 값에서 sql

injection이 가능한 hash 값이 출력되는 것 같다.

입력해보았다.

정상적으로 나온다. 성공!

wargame.kr 8번 md5_compare 라는 문제다.
 
점수는 500point!
 
흠.. 일단 비교해보라고? 알았다. 어디한번 시작해보자.

흠...소스부터 확인을해보자.

흠.. 플래그 값을 얻으려면 chk라는 변수가 true로 유지되어야 하는 것 같다.

유지조건을 살펴보니

첫번째로는 ctype_alpha 함수를 통해 v1에 알파벳 외의 다른 문자가 있으면 안된다.

두번째로는 is_numeric 함수를 통해 v2에 숫자 외의 다른 문자가 있으면 안된다.

마지막으로 md5로 출력한 hash 값이 서로 같아야 한단다.

서로 다른 값을 md5로 돌려서 같아야 된다고..? 아무리 해쉬충돌이 발생할 수 있다지만

그걸 찾아내라는 것도 아닌거 같고 찾고 싶지도 않다.

뭔가 취약점이 있을거 같다.

그럼 그렇지. 찾아보니 php magic hash 취약점이라는게 존재한다.

0e로 시작하는 문자열을 비교하면 typecast가 적용이 되어서 우선순위가 더 높은 float형으로 비교가

되어 둘다 0이 된다는 뜻이다.

즉, md5를 통해 출력된 해쉬 값이 "0e어쩌고"=="0e어쩌고" 형식이되면 0=0으로 바뀌어 비교가 되어

결과가 true가 되게 된다.

오호라...신기하구만...

그러면 해쉬 값이 0e가 나오는 문자열만 찾으면 될 것 같다.

aabg7XSs    aabC9RqS    240610708    QNKCDZO

대충 찾아보니 이렇게 4개 정도를 찾았다.

저중에서 v1은 알파벳만이어야하니까 QNKCDZO를 쓰고 v2는 숫자만이니까 240610708을 써보자.

잘 나온다. 성공!

뭔가 풀면서 새로 알게된 점이 많았던 문제였다.