보안/Wargame

문제 설명 Due to heavy workload for the upcoming baby BoneChewerCon event, the website is under maintenance and it errors out, but the debugger is still enabled in production!! I think the devil is enticing us to go and check out the secret key. 문제 설명을 읽어보면 현재 웹사이트는 유지보수 중에 있고 오류가 나면 페이지에 출력해서 보여준다고 하네요. 심지어 디버거 모드도 on 되어 있다고 하네요. 문제 설명에 그대로 secret key 가 노출되어 있으니 살펴보라고 되어 있습니다...;; 난이도는 엄청 쉬운 편에 속하지..

보안/Wargame

문제 설명 Welcome to Full Stack Conf, explore the future of JavaScript with a lineup of industry professionals and discover new techniques to advance your career as a web developer. But be very careful with the stay up to date form, we don't sanitize anything and the admin logs in and checks the emails regularly, don't try anything funny!! 😅 문제 설명에서 보면 "어떤 sanitize 도 없고, 관리자가 수시로 로그인 해서 이메일을 확인한다"는 ..

보안/Wargame

문제 설명 Who needs session integrity these days? 문제 설명을 보면 session 무결성에 관한 문제 같아 보입니다. 제공받은 URL 에 접속하면 보이는 첫 화면은 로그인 페이지였습니다. 로그인 페이지 외에도 회원가입 페이지도 있었습니다. 하단에 보시면 Create your Account 버튼이 보입니다. 눌러보면 아래와 같은 페이지가 보입니다. 일단 세션 관련된 문제인 만큼 로그인을 해봐야된다고 생각해서 회원가입부터 해보았습니다. 이 때 admin 이라는 계정으로 회원가입하려고 하였으나 이미 존재하는 계정이라고 가입이 되지 않았습니다. 그렇기 때문에 admin 이라는 계정으로 접속하는 것이 문제의 목표라는 생각이 들었습니다. 일단 test / test 로 회원가입했습니다..

보안/Wargame

문제 설명 Can you escape the query context and log in as admin at my super secure login page? 문제 설명을 보면 로그인 페이지로부터 admin 계정으로 접속하라는 것 같네요. 아래는 제공 받은 URL로 접속하면 나오는 첫 페이지입니다. 소스코드 보기를 하면 /debug 라는 경로가 있다는 것을 주석문에서 확인할 수 있는데요. 접속해보면 아래 Python Flask 의 서버 코드를 확인할 수 있습니다. from flask import Flask, request, render_template, Response, url_for, g from sqlite3 import dbapi2 as sqlite3 from functools import wra..

보안/Wargame

문제 설명 We've built the most secure networking tool in the market, come and check it out! 문제 설명을 보면 "안전한 네트워크 도구"를 만들었다고 하네요. 제공받은 URL로 접속해보면 아래와 같은 페이지가 나옵니다. 우측의 Test 버튼을 누르면 Ping 이 입력된 IP로 보내집니다. 일반적으로 ping 명령이나 traceroute 명령어는 시스템 명령어 중에 하나입니다. 그리고 이런 명령어는 web 에서 시스템 명령을 수행하는 함수로부터 수행되어졌을텐데, 이 때 아래와 같이 명령이 수행됐다고 가정해보겠습니다. import os os.system("ping 8.8.8.8") 그리고 리눅스에서 한 줄에 여러 명령어를 실행할 수 있는 방법이 ..

보안/Wargame

문제요약 : Python Arbitrary Code Execution 문제에 처음 접속하면 위와 같은 페이지가 나옵니다. 소스코드 보기를 하면 아래와 같은 힌트를 보실 수 있습니다. /debug 경로에 접속해보면 아래와 같이 웹서버의 소스코드를 그대로 볼 수 있습니다. 이 소스코드를 단계적으로 분석해보면 아래와 같습니다. 1 - 쿠키 분석 우선 SECRET_KEY가 노출되었기 때문에 Flask 세션 쿠키 조작이 가능해집니다. SECRET_KEY를 이용한 세션 조작에 대해 자세한 건 아래 포스트를 참고해주세요. https://domdom.tistory.com/295?category=1023003 [Research] Crack Flask Cookies (Secret Key) 상식적으로 웹서버에서 세션/쿠키를..

보안/Wargame

문제 요약 : 파라미터 변조 이번 문제는 솔직히 소스코드 분석조차도 필요 없는 문제였습니다. 우선 Mobile.apk 를 디버깅 툴로 열어보면 주 Activity 는 총 4가지가 있었습니다. RegisterActivity, LoginActivity, EditActivity, MainActivity 입니다. 동일한 순서로 회원가입, 로그인, 비밀번호 수정, 회원정보 출력 액티비티입니다. 그리고 각 Activity 의 공통적인 특징으로는 서버에 POST 요청을 한다는 것입니다. 아래는 비밀번호 수정 activity 에 대한 update 함수입니다. 특이하게 어떤 세션이나 쿠키도 사용하지 않고 있었고, 파라미터 위변조 또는 사용자 계정 위변조에 대한 검증 절차가 클라이언트 단이나 서버 단이나 모두 전혀 없었습..

보안/Wargame

문제 개요 Race Condition 처음에 페이지에 접속하면 위와 같이 나옵니다. 그리고 소스코드가 제공됐습니다. 소스코드 분석 중요한 부분만 보도록 하겠습니다. 아래 소스코드는 물건을 구매할 때 실행되는 API 입니다. 이곳에서 중요한 부분은 db.registerUser 부분입니다. 아래 쿠폰 발급 받을 때도 registerUser를 하지만, 이곳에서도 registerUser을 한다는 것이 중요한 부분입니다. 그 이유에 대해서는 나중에 말씀드리겠습니다. 그리고 아래 코드는 쿠폰을 발급받았을 때 실행되는 API 입니다. 이곳에서 주요 깊게 봐야할 점은 만약 user 세션 값이 존재한다면, 별도로 registerUser 를 하지 않고, 쿠폰을 가져와서 쿠폰에 적힌 값만큼 addBalance를 한다는 점입..

보안/Wargame

문제 설명 This app contains some unique keys. Can you get one? 일단 이 문제는 문제 파일로 apk 파일을 하나 제공했습니다. 문제 분석 바로 디컴파일해서 분석을 해보았습니다. activity 에는 MainActivity 하나만 정의되어 있네요. 이 부분만 보면 될 것 같습니다. 보아하니 id 가 admin 이고 pw 가 md5 hash 한 결과가 아래 if 문 안에 들어있는 hash 값과 일치하면 Toast Message 로 Flag가 나오는 것 같습니다. 사실 Toast.makeText 인자 중 두번째 인자의 값이 Flag 문자열로 추정되나, 한번 들어가보았지만 정말 복잡하기 그지 없었습니다. base64 인코딩된 문자열을 여러 ArrayList 로 분리해놓음..