보안/Wargame

if(preg_match('/prob|_|\.|\(\)/i', $_GET[no])) exit("No Hack ~_~"); if(preg_match('/\'/i', $_GET[pw])) exit("HeHe"); if(preg_match('/\'|substr|ascii|=/i', $_GET[no])) exit("HeHe"); no 파라미터에 대한 필터링으로는 [prob, _, ., (, ), ', substr, ascii, =] 가 있다고 합니다. pw 파라미터에 대한 필터링으로는 '(작은따옴표/single quote) 하나만 있습니다. no 와 pw 파라미터의 공통점으로는 둘 모두 작은따옴표를 금지하고 있는 걸 볼 수 있습니다. $query = "select id from prob_darkknight wh..

보안/Wargame

접속하면 위와 같은 페이지가 나옵니다. 소스코드를 보아하니 아래와 같이 주석처리된 php 경로가 보입니다. 접속해보니 아래와 같은 페이지가 나왔습니다. 보아하니 id 파라미터에 sql injection 이 가능한 것 같았습니다. http://188.166.173.208:32173/portfolio.php?id=1||1 바로 sqlmap 을 돌려보았습니다. >python sqlmap.py -u http://188.166.173.208:32173/portfolio.php?id=1 결과를 보아하니 데이터베이스로부터 내용물을 추출할 수 있을 것 같았습니다. [06:18:43] [INFO] GET parameter 'id' is 'Generic UNION query (NULL) - 1 to 20 columns' ..

보안/Wargame

처음에 접속하면 위와 같은 페이지가 나옵니다. 그리고 바로 제공받은 소스코드 파일을 보았습니다. 이번 문제는 소스코드 분석 후에 문제를 풀었습니다. 소스코드 파일이 꽤 많은데 중요 파일의 내용만 같이 보도록 하겠습니다. Dockerfile EXPOSE 80 WORKDIR /app config/nginx.conf listen 80; challenge/wsgi.py app.run(host='0.0.0.0', port=80) challenge/application/blueprints from flask import Blueprint, request, render_template, abort, send_file from application.util import cache_web, is_from_localhos..

보안/Wargame

처음에 들어가면 위와 같은 페이지가 나옵니다. 그리고 아래 input form 이 있고 name 에 이름을 입력하고 send 버튼을 누르면 /api/submit URL로 application/json 타입으로 POST 요청이 보내집니다. POST /api/submit HTTP/1.1 Host: 139.59.166.56:30516 Content-Length: 170 Content-Type: application/json {"artist.name":"Domdomi"} 이에 대한 response 로는 아래와 같이 옵니다. {"response":"Please provide us with the full name of an existing member."} SQL Injection 을 시도해보거나 Command ..

보안/Wargame

if(preg_match('/prob|_|\.|\(\)/i', $_GET[pw])) exit("No Hack ~_~"); if(preg_match('/or|and|substr\(|=/i', $_GET[pw])) exit("HeHe"); pw 파라미터에 대한 필터링으로는 위와 같습니다. prob, _, ., (, ), or, and, substr(, = 문자열들이 필터링되어 있습니다. 모두 대소문자 구분을 하고 있습니다. 다만 특이한 건 substr 문자열을 필터링하는 것이 아니라 substr( 문자열을 필터링하고 있습니다. 이렇게 되면 substr() 은 안되겠지만 substring()은 된다는 의미인데 말이죠. mysql에서는 substr 과 substring 모두 사용 가능합니다. $query = "..

보안/Wargame

if(preg_match('/prob|_|\.|\(\)/i', $_GET[pw])) exit("No Hack ~_~"); GET 파라미터로 입력받은 pw 값에 대한 필터링으로는 prob 이라는 문자열이 포함되거나 _(언더바), .(온점), (, ) 와 같은 괄호들이 포함되면 안된다고 합니다. $query = "select id from prob_skeleton where id='guest' and pw='{$_GET[pw]}' and 1=0"; echo "query : {$query} "; $result = @mysqli_fetch_array(mysqli_query($db,$query)); if($result['id'] == 'admin') solve("skeleton"); query문을 살펴보니 우리가..

보안/Wargame

$_GET[id] PHP 소스코드 상으로는 id를 GET 파라미터로 받는다고 합니다. if(preg_match('/\'/i', $_GET[id])) exit("No Hack ~_~"); 그리고 id 파라미터의 입력값으로 '(작은따옴표)를 금지(필터링)하고 있습니다. $_GET[id] = strtolower($_GET[id]); 그리고 입력받은 id 를 strtolower 함수로 인해 대문자가 있다면 소문자로 변환됩니다. $_GET[id] = str_replace("admin","",$_GET[id]); 그리고 마지막으로 만약 id 파라미터에 admin 이라는 문자열이 올 경우 "" 즉 공백으로 치환합니다. $query = "select id from prob_vampire where id='{$_GET[..

보안/Wargame

$_GET[id] PHP 소스코드 상으로는 id를 GET 파라미터로 받는다고 합니다. if(preg_match('/\'/i', $_GET[id])) exit("No Hack ~_~"); 그리고 id 파라미터에 '(작은따옴표)가 오면 필터링됩니다. if(preg_match("/admin/", $_GET[id])) exit("HeHe"); 또 id 파라미터에 admin 이라는 문자열이 오면 필터링됩니다. $query = "select id from prob_troll where id='{$_GET[id]}'"; echo "query : {$query} "; $result = @mysqli_fetch_array(mysqli_query($db,$query)); if($result['id'] == 'admin')..

보안/Wargame

$_GET[pw] PHP 소스코드 상으로는 pw를 GET 파라미터로 받는다고 합니다. if(preg_match('/prob|_|\.|\(\)/i', $_GET[pw])) exit("No Hack ~_~"); 그리고 pw에 대소문자를 가리지 않고 prob라는 단어가 포함되거나, _(언더바), .(온점), ((여는 괄호), )(닫는 괄호) 를 사용하는 것을 금지(필터링)하고 있습니다. if(preg_match('/or|and/i', $_GET[pw])) exit("HeHe"); 그리고 pw에 추가로 대소문자를 구별하지 않고 or 와 and 문자열이 들어가는 것을 금지(필터링)하고 있습니다. $query = "select id from prob_orge where id='guest' and pw='{$_GET..