보안/Wargame

emo.doc 파일이 제공됩니다. 그리고 해당 파일을 분석해보면 아래와 같이 VBA 코드가 있는 것을 확인할 수 있습니다. 약 500줄 정도 되고 난독화 되어 있어 정적 분석은 어려워 보였습니다. ' module: Dw75ayd2hpcab6 Attribute VB_Name = "Dw75ayd2hpcab6" Attribute VB_Base = "1Normal.ThisDocument" Attribute VB_GlobalNameSpace = False Attribute VB_Creatable = False Attribute VB_PredeclaredId = True ...중략... Set fCASJI = (sNHBGJB) Dim ohlbI(5 + 5 + 1 + 7) As String cREZHj(EPsmDJF..

보안/Wargame

처음 들어가면 위 페이지와 같이 나옵니다. 우선 회원가입을 위해서 아이디와 비밀번호에 test / test 를 입력해보았습니다. 회원가입 완료 후 로그인을 해보았습니다. 로그인하면 위와 같은 페이지가 나옵니다. 그 이외의 다른 페이지는 찾을 수 없어보입니다. 그리고 나서 쿠키값을 살펴보았습니다. JWT 토큰 값이 있습니다. //Set-Cookie: session=eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VybmFtZSI6InRlc3QiLCJwayI6Ii0tLS0tQkVHSU4gUFVCTElDIEtFWS0tLS0tXG5NSUlCSWpBTkJna3Foa2lHOXcwQkFRRUZBQU9DQVE4QU1JSUJDZ0tDQVFFQTk1b1RtOUROemNIcjhnTGhqWmFZX..

보안/Wargame

if(preg_match('/prob|_|\.|\(\)|#|-/i', $_GET[pw])) exit("No Hack ~_~"); if(strlen($_GET[pw])>6) exit("No Hack ~_~"); pw 파라미터 한 개를 입력받습니다. 근데 필터링이 prob, _(언더바), .(온점), ()(괄호), #(샵), -(빼기) 가 있고, 심지어 pw 의 길이가 6개 이하로 제한되어 있습니다. 6개를 넘을 수 없는 것으로 제한이 심한 것으로 보아 정답이 정해져있는 것 같습니다. $query = "select id from prob_nightmare where pw=('{$_GET[pw]}') and id!='admin'"; echo "query : {$query} "; $result = @mysqli..

보안/Wargame

$_GET['id'] = strrev(addslashes($_GET['id'])); $_GET['pw'] = strrev(addslashes($_GET['pw'])); 우선 id 와 pw 파라미터를 전부 addslashes 로 먼저 필터링을 해줍니다. addslahes 에 대해서 잠시 복습해보자면, 인자 값으로 들어온 문자열에서 '(작은따옴표), "(큰 따옴표), \(백슬래시), NUL(널바이트) 와 같은 문자가 오게 되었을 때 해당 문자 바로 이전에 \(백슬래시)를 추가해주는 기능을 하는 함수입니다. 아래 예시는 '(작은 따옴표)가 addslashes 함수에 의해서 \(백슬래시)가 추가되어 이스케이핑 되는 모습입니다.

보안/Wargame

if(preg_match('/prob|_|\.|\(\)/i', $_GET[id])) exit("No Hack ~_~"); if(preg_match('/prob|_|\.|\(\)/i', $_GET[pw])) exit("No Hack ~_~"); if(preg_match('/\'/',$_GET[id])) exit("HeHe"); if(preg_match('/\'/',$_GET[pw])) exit("HeHe"); id 와 pw 파라미터 모두 동일한 필터링이 걸려있는 것을 볼 수 있겠습니다. prob, _(언더바), .(온점), ()(괄호), '(작음따옴표) 모두 사용 불가합니다. (이번에 깨달았는데 이전문제에서 \(\) 라고 되어 있던 것을 저는 (, ) 괄호 두 개 모두 안되는 것으로 착각했었던 것 같은데,..

보안/Wargame

if(preg_match('/\'/i', $_GET[pw])) exit("No Hack ~_~"); pw 파라미터에 대한 필터링으로는 '(작은따옴표)만 막고 있습니다. $query = "select id from prob_assassin where pw like '{$_GET[pw]}'"; echo "query : {$query} "; $result = @mysqli_fetch_array(mysqli_query($db,$query)); if($result['id']) echo "Hello {$result[id]}"; if($result['id'] == 'admin') solve("assassin"); 그리고 들어온 pw 파라미터에 대한 query 의 결과로 아이디가 admin 일 경우 문제는 바로 풀린다..

보안/Wargame

처음에 제공된 URL에 접속하면 바로 아래와 같은 PHP 소스코드가 나옵니다.

보안/Wargame

if(strlen($_GET[shit])>1) exit("No Hack ~_~"); if(preg_match('/ |\n|\r|\t/i', $_GET[shit])) exit("HeHe"); shit 라는 파라미터 하나를 입력 값으로 받는 문제인데, 필터링이 생각보다 철저합니다. 우선 공백문자 대부분이 필터링 되어 있습니다. 그리고 심지어 한글자 이상은 입력도 할 수 없다고 합니다. 그럼 정답은 한 문자라는 것이겠지요. 그렇기 때문에 답이 뭘 지 생각해볼 필요도 없었습니다. 아스키코드표에 존재하는 모든 문자를 대입해보면 되는 것이기 때문입니다. 일단 그래도 문제의 의미를 생각해보면 query 문을 보시면 from 과 prob 문자열이 붙어있기 때문에 그 사이에 공백문자가 들어가야지 문제가 풀릴 것으로 보입..

보안/Wargame

if(preg_match('/prob|_|\.|\(\)/i', $_GET[no])) exit("No Hack ~_~"); if(preg_match('/\'/i', $_GET[pw])) exit("HeHe"); if(preg_match('/\'|substr|ascii|=|or|and| |like|0x/i', $_GET[no])) exit("HeHe"); no 파라미터와 pw 파라미터에 필터링이 있습니다. no 에는 prob 이라는 문자열이 포함되거나, _(언더바), (, ) 괄호들이나 '(작음따옴표), substr, ascii, or, and, like, 0x 가 포함되거나 =(부등호)가 포함되면 No Hack ~_~ 이나 HeHe 가 출력되면서 막히는 걸 알 수 있겠습니다. pw 파라미터에는 '(작은따옴..