hdd

포스팅에 앞서 내용이 틀릴 수도 있으며, 해당 부분 지적은 감사히 받겠습니다. 이전 문제를 풀고 자려했는데, 다음 문제는 뭘까 궁금해하다가 풀어버려서 포스팅한다. 46번 문제이다. sql injection 문제이다. 역시 반갑다. 항상 sql injection은 나에게 문제를 풀 힘을 보충해준다. 일단 소스코드부터 보자. 복잡해서 내일로 미룰뻔했지만 자세히 보니 별거 아니다. lv의 값을 get방식 파라미터로 입력받는다. 공백, /, *, %을 제거하며, select, 0x, limit, cash 등을 대소문자 구분하지 않고 필터링시킨다. id가 admin인 정보를 조회하면 문제는 풀린다. 풀어보자. 일단 1을 입력해보자. id값과 cash값이 출력되었다. 이런 방식이구나 알아두고 id가 admin인 정..

포스팅에 앞서 내용이 틀릴 수도 있으며, 해당 부분 지적은 감사히 받겠습니다. 45번 문제이다. 떡하니 sql injection이라고 쓰여있다. 한번 코드부터 보자. get파라미터로 id와 pw를 받으며 id는 euc-kr을 utf-8 형태로 바꾼다고 되어있다. 또한 id와 pw 둘 다 admin, select, limit, pw, , = dmf 대소문자를 구분하지 않고 필터링하고 있다. 그리고 id가 admin과 일치하면 문제는 해결된다. 간단한 addslashes우회 문제이다. addslashes는 ', ", \, %00 이 오면 앞에 \를 붙여 문자 취급시켜 해당 문자열이 가진 기능을 하지 못하게 만드는 함수이다. 멀티 바이트를 통해 우회 가능하다. 한번 우회해보자. 원래는 input type이지만..

포스팅에 앞서 내용이 틀릴 수도 있으며, 해당 부분 지적은 감사히 받겠습니다. 44번 문제이다. sql 인젝션 문제처럼 생겼다. 한번 소스코드를 보자. post방식으로 id를 전송하며 substr로 5글자만 입력받고 그 뒤의 문자는 무시한다. 주석에 ls를 실행하여야 한다고 알려준다. 한번 문법에 만족시켜 ls를 입력해보자. 위 사진처럼 입력하면 조건을 만족한다. flag가 출력되었다. 검증해보자. 아니다.... 무엇이 문제일까 고민하다가 옆에 index.php 파일이 있는 것에서 답을 찾아내었다. 바로 현재 페이지가 index.php에서 이루어지고 있는데, 이는 저 플래그로 나온 값 또한 접속이 가능하지 않을까란 생각을 들게 했다. 바로 시도해보자. 정확했다. 다시 한번 검증해보자. 문제 해결 시행착오..

포스팅에 앞서 내용이 틀릴 수도 있으며, 해당 부분 지적은 감사히 받겠습니다. 43번 문제이다. cat /flag를 실행할 수 있는 웹쉘을 업로드해야 하는 것처럼 보인다. 한번 업로드해보자. 해당 코드는 GET방식으로 파라미터를 입력받아 system() 함수로 연결시킬 수 있는 웹쉘 코드이다. 한번 업로드해보자. 잘못된 타입이란다. 아무래도 확장자 필터링이 아닐까 싶었다. 하지만 %00, 2중 확장자 등 여러 가지 우회 기법을 사용해봤지만 뚫리지 않았다. 그래서 검색해봤다. 그 결과 burp suite를 사용한 우회 기법을 발견할 수 있었다. 위 사진은 wwwsss.txt 파일을 업로드 과정을 burp suite로 캡처한 사진이다. 우리는 Contet-Type: 부분을 image/jpeg로 변경하여 확장..

포스팅에 앞서 내용이 틀릴 수도 있으며, 해당 부분 지적은 감사히 받겠습니다. 42번 문제이다. 하이퍼링크로 다운로드할 수 있는 파일이 2개 보인다. 하나는 text.txt 다른 하나는 flag.docx이다. 우리가 필요한 건 flag이다. flag를 한번 다운로드하여보자. (text.txt에는 쓸데없는 내용이 들어있어서 포스팅에서는 제외하겠다.) 접근이 거부되었다. 한번 소스코드를 보자. text.txt의 하이퍼링크 부분에는?down=dGVzdC50eHQ= 링크로 이동하게 되어있으며, flag.docx는 그냥 접근이 허용되지 않는다는 메시지만 출력하게끔 되어있다. 우리는 이 두 가지를 조합해야 한다. 힌트는 text.txt의 링크에서 찾을 수 있다. 연결된 링크를 잘 보면 뒤에 =이 붙어있다. 따라서 ..

포스팅에 앞서 내용이 틀릴 수도 있으며, 해당 부분 지적은 감사히 받겠습니다. 41번 문제이다. 파일 업로드 취약점 문제이다. 소스코드를 보자. php 언어를 잘 모르지만 기존과는 다른 게 하나 있다. error_reporting(E_ALL); 구문이 있다. ini_set() 구문에서는 php설정을 바꾸는 것이며, 에러를 보여준다는 뜻이다. 해킹에서는 이런 오류 메시지 하나하나가 큰 도움을 주는 경우가 있다, fn변수는., , / 를 필터링한다. cp변수는 서버의 임시저장소에 파일을 저장한다. 서버의 임시저장소에 있는 파일을 $upload_dir와 $fn의 변수 이름 형식으로 복사시킨 후 쓰기 전용으로 파일을 열어 flag를 작성한다. 우리가 찾는 flag는 저 경로에 저장되어 있으니, 해당 경로를 찾아..

포스팅에 앞서 내용이 틀릴 수도 있으며, 해당 부분 지적은 감사히 받겠습니다. 40번 문제이다. 딱 봐도 sql injection문제이다. 오류 메시지를 표출하지 않는걸 보아 blind sql이라고 판단했다. 설레었다. 하지만 2달간의 공백이 문제였는지, 해결하는데 상당히 고전했다. 바로 보자. 입력창이 no, id, pw 가 있다. 테스트 결과 no에서만 인젝션이 가능했으며, 공백, and, or 등이 필터링당해있었다. 하지만 위의 필터링은 모두 우회가 가능했다. 필자의 경험상 id, pw, no가 있으면 보통 내부의 쿼리의 순서가 id=''&pw=''&no= 순으로 왔던 기억이 있다. 또한 no는 쿼터에 씌워져있지 않았다. 일단 그렇게 가정하고 문제를 해결해보자. 정상적인 로그인 성공 화면이다. 또한..

포스팅에 앞서 내용이 틀릴 수도 있으며, 해당 부분 지적은 감사히 받겠습니다. 39번 문제이다. 무언가 sql injection 문제이다. 소스코드를 보자. post 형식으로 id 파라미터를 입력받으며 \\(역 슬래쉬)를 제거하고, '는 ''로 치환하며 15번째 글자까지만 입력받는다. 입력받은 값이 id의 길이가 14보다 작고, 입력받은 id값이 존재하면 문제가 해결된다. 그리고 select 쿼리를 잘 보면 뒤에 싱글 쿼터가 하나 빠져있는 모습을 볼 수 있다. 여기까지만 보고 처음에 아 역 슬래쉬와 멀티 바이트를 활용한 필터링 우회 문제구나라고 생각했었다. 하지만 여 러시도를 통해 뭔가 잘못되어갔다는 걸 느꼈고, 다른 사람의 의견을 참고했다. 바로 substr 부분에서 취약점을 발견한 것인데, 15자리까..