'분류 전체보기' 카테고리의 글 목록 (2 Page)

분류 전체보기

보안 공부

2020.05.05

pwnable.kr collision 시작! col.c 파일을 읽어보자. 24 번째 줄의 if 문을 보면 hashcode 와 check_password( argv[1] ) 의 값이 같으면 flag 를 출력해주는 것을 알 수 있다. 그리고 19 번째 줄의 if 문을 보면 argv[1] 은 20 byte 이어야 한다. check_password() 함수를 보면 입력받은 argv[1] 입력값을 int 인 4 byte 씩 5번으로 나눈 뒤 더해서 리턴해주고 있다. 즉, 입력한 값을 4 byte 씩 5등분하여 더한 값이 0x21DD09EC 이어야 한다. 0x21DD09EC 이 정확히 5등분 되지 않기 때문에 적당히 나누면 될 것 같다. 그래서 다음과 같이 나눌 수 있다. 0x01010101 * 4 + 0x1DD9..

[pwnable.kr] fd

2020.05.05

pwnable.kr fd 시작! flag 파일은 권한이 없어 읽지 못한다. fd.c 파일을 보자. fd 값으로 argv[1] 에서 0x1234 를 뺀 값을 주고 있다. 그리고 read() 함수를 통해 buf 의 내용을 읽어오고 있다. 문제를 풀기 전에 먼저 read() 함수와 file descriptor 에 대해 알아보자. read() 함수 ssize_t read(int fd, void *buf size_t nbytes) 인자 - int fd : open() 등을 통해 정상적으로 open 한 file descriptor - void *buf : 파일을 읽어 들일 버퍼 - size_t nbytes : 버퍼의 크기 반환값 - 정상적인 실행 : 읽어 들인 바이트 수 반환 - 읽을 데이터가 없을 때 : 0 반환..

Challenge 60

2020.05.04

Challenge 60 시작! 소스코드를 보자. PHPSESSID 가 숫자가 아닐 경우에는 접근이 거부된다. 때문에 PHPSESSID 를 숫자로 변경해줘야 하고, 변경하게 되면 txt 파일을 생성한다. 하지만 127.0.0.1 이 아니라면 1초 뒤에 파일을 삭제된다. 그리고 PHPSESSID 가 숫자인 상태에서 get 방식으로 mode 인자에 auth 라는 값을 요청하면 생성된 txt 파일의 내용을 확인하고 문제가 해결된다. 일단 PHPSESSID 를 아래와 같이 숫자로 변경한다. 그리고 나서, 새로고침 하게 되면 sleep(1) 이 동작하여 1초 이상의 시간이 소요된다. 때문에 mode=auth 를 요청하기도 전에 파일이 삭제된다. 파일이 삭제되기 전에 mode=auth 를 요청하기 위해서는 서로 다른..

Challenge 59

2020.05.04

Challenge 59 시작! JOIN 과 LOGIN 입력 값이 있는 것을 보니 회원가입하여 로그인을 성공해야 하는 문제인 듯 하다. test/1234 로 회원가입을 하고 로그인 해보자. 로그인 한 결과, lv 이 guest 로 되어 있는 것을 확인할 수 있다. 소스코드를 보자. JOIN 의 id 와 phone 값은 addslashes() 를 이용하여 필터링 하고 있고, 추가로 특정 문자들을 필터링 하고 있다. 회원가입을 하게 되면 자동으로 lv 은 guest 로 설정된다. 이 lv 값이 admin 일 때 문제가 해결된다. 필터링 때문에 admin 을 직접 입력하는 것은 불가능하다. 방법을 찾아 보다 SQL 의 reverse() 라는 함수를 알게 되었다. 이 함수를 이용하면 문자열을 뒤집어서 입력하거나 ..

Challenge 58

2020.05.04

Challenge 58 시작! 입력창이 하나 있다. 어떤 값을 입력해야 하는지는 소스코드를 봐야 알 것 같다. 소캣 통신을 하고 있으며 username 이 guest 로 되어 있다. 그리고 입력창에 입력하는 값은 cmd 명령어인 것을 알 수 있다. 입력창에 명령을 입력해보자. ls 를 입력하면 "index.js temp.html" 이라는 파일 목록을 출력해준다. 그리고 flag 정보를 알기 위해 flag 를 입력했을 때는 "permission denied... admin only!" 라는 메시지를 출력해준다. 권한 문제라면 username 을 admin 으로 바꿔주면 될 것 같다. 콘솔 창에서 username 을 guest 에서 admin 으로 바꿔주고 입력 값인 $('#m').val() 를 flag 로..

Challenge 57

2020.05.04

Challenge 57 시작! 입력값은 msg 와 se 이다. 소스코드를 보자. msg 와 se 에 addslashes() 로 필터링이 되어 있다. 그리고 se 에는 특정 문자들이 추가로 필터링 되어 있다. msg 와 se 를 입력할 경우 insert 문을 통해 값을 저장해주고 있다. 이 때 flag 값도 같이 저장되는 것을 볼 수 있다. 때문에 이 flag 값을 알아내야 이번 문제를 해결할 수 있다. Done 말고는 별다른 출력 메시지가 없어 blind injection 을 수행하기에는 애매하다. 그런데 필터링 중에 benchmark 가 있는 것을 보니 Time Base SQL Injection 인 것을 예상할 수 있다. sleep() 함수는 필터링 되지 않았기 때문에 이를 이용하면 flag 값이 들어..

Challenge 55

2020.04.29

Challenge 55 시작! 마우스 커서 방향으로 초록 친구가 움직이고 score 가 변한다. rank 버튼을 눌러보자. 다른 유저들의 rank, id, score 가 출력되어 있고 아래 insert 문이 하나 있다. 스코어가 모두 2147483647 인 것을 보니 이 점수가 되면 flag 값을 주는 것 같다. 점수를 클릭할 수 있어서 클릭한 결과 url 을 보면 score 인자에 점수가 들어갔고, id 와 score 를 출력해주는 것을 볼 수 있다. 이 쿼리 뒤에 and true 를 입력해보자. 별 다른 필터링이 되어 있지 않아 똑같이 id 와 score 를 출력해준다. 때문에 true 대신 원하는 조건을 만들어서 정보를 얻어낼 수 있다. 필요한 정보는 flag 값이고 이를 알아내기 위해서는 flag..

Challenge 54

2020.04.29

Challenge 54 시작! 패스워드가 한 글자씩 빠르게 바뀌고 마지막에 ? 를 출력해준다. 소스코드를 보자. answer() 함수를 보면 setTimeout() 를 이용하여 문자를 바꾸는 것을 알 수 있다. 시간을 느리게 바꿔 한 글자씩 읽는 방법도 있지만 30 번째 줄을 보면 aview.innerHTMl=x.responseText; 부분에서 = 를 += 로 바꿔주면 글자가 바뀌는 것에서 하나씩 추가되는 것으로 바꿀 수 있다. 그리고 33 번째 줄의 if 문을 통해 마지막에 ? 로 만들어주는 부분을 삭제해주면 된다. 콘솔창에서 변경 후 실행해주자. 그 결과, 플래그 값이 출력된다. 인증하러 가자. 성공!

challenge 53

2020.04.29

Challenge 53 시작! 소스코드를 보자. answer 인자의 값으로 테이블명을 입력하면 문제가 해결된다. 또 다른 인자인 val 로 해당 정보를 알아내야 될 것 같다. select 가 필터링 되어 있어 information_schema.tables 에서는 조회하지 못한다. 딱히 방법이 떠오르지 않아 구글링을 통해 procedure analyse() 라는 SQL 함수를 알아냈다. procedure analyse() 함수를 사용하면 DB명.table명.column명 형식으로 정보를 출력해준다. val 값으로 1 을 입력했을 때, hidden_table 의 a 라는 컬럼에 1 이라는 값이 있어 위와 같이 1 을 출력해주었다. 이 뒤에 procedure analyse() 함수를 입력해보자. 그 결과, c..

Challenge 52

2020.04.29

Challenge 52 시작! admin page 에 접근해야 한다. admin page 버튼을 클릭해보자. 클릭하니 위와 같이 로그인 폼이 나왔고, injection 을 시도한 결과 admin 으로 로그인 할 수 있었지만 virtual IP address 로만 접근할 수 있다는 메시지가 출력되었다. 로그인 폼에서 취소를 누르게 되면 아래와 같이 Login Fail 이란 메시지와 함께 소스코드 버튼을 볼 수 있다. 소스코드를 보자. admin 으로 로그인 하고, 외부 ip 가 172.17.0.x 대역일 때 flag 를 출력해준다. 첫 페이지로 다시 가서 proxy 버튼을 클릭해보았다. request 와 response 정보를 보여주고 있는데 딱히 도움이 될 내용은 없다. 그래서 아래와 같이 url 에서 ..

Challenge 51

2020.04.28

Challenge 51 시작! SQL Injection 문제이다. 소스코드를 보자. id 는 addslashes() 함수를 통해 필터링 되어 있어 pw 부분에서 조건을 만들어야 할 것 같다. 입력한 pw 는 md5 를 통해 암호화하고 있다. md5() 함수의 true 가 무슨 의미인지 몰라서 구글링 해보았다. 정리해보면 다음과 같다. - md5(암호화 대상, false) -> 기본 값으로, 32자리 hex 값 반환 - md5(암호화 대상, true) -> 16자리 binary 형식으로 반환 만약 md5() 가 true 로 설정되었을 때, 반환값에 '=' 가 포함되어 있으면 쿼리를 참으로 만들 수 있다. 다음과 같은 쿼리가 그 경우이다. select id from table where id='admin' ..

Challenge 50

2020.04.28

Challenge 50 시작! SQL Injection 문제이다. 소스코드를 보자. 특정 문자들에 필터링이 되어 있고, lv 이 3일 경우 문제가 해결된다. 눈에 띄는 것은 id 를 mb_convert_encoding() 로 처리한다는 것이다. 이에 대한 활용 방법은 Challenge 45 에서도 다뤘다. lv = 3 이라는 조건을 만들어야 되는데 웬만한 문자들은 모두 필터링 되어 있어서 union 을 사용해야 할 것 같다. id 부분에는 union 이 필터링 되어 있어 pw 부분에서 사용해야 한다. union 을 사용했을 때, 다음과 같은 select 문이 만들어져야 한다. [기존의 select 문] union select 3 따라서 입력할 url 은 다음과 같다. ?id=guest%aa'/*&pw=*..

보안 공부