Wargame.kr

Web_650

web chatting


650점짜리 문제입니다. 이번에도 SQLi 문제라고 하네요.

개발자의 관점에서 문제를 풀어보라고 합니다. 문제 확인 들어가봅시다.



BlueCHAT 프로그램이 나오네요. ID를 입력하고 join 해 봅시다.




채팅 프로그램이 나타납니다. 왼쪽 텍스트박스에 입력한 ID가 표시되고, 오른쪽 텍스트박스에 문자열을 입력하고 say를 누르면 위와 같이 채팅창에 글이 올라오는 형태입니다.

소스를 확인해보도록 하죠.



xmlhttp를 이용한 AJAX를 구현 해 놓은 채팅으로 보입니다.

say를 누르면 chatlog.php에 data파라미터로 문자열이 인코딩 되어 들어가면서 서버에 저장이 됩니다.

그리고 1초간의 인터벌을 두고 채팅 로그를 가져오네요.

가져올 때 t 값과 ni 값을 가지고 값을 불러오는데, t는 크게 관련이 없는 변수인 것 같고, ni가 중요한 변수가 됩니다.

ni는 아래에서 다시 언급하겠지만, 채팅을 할 때 해당 글이 서버에 저장된 index의 값입니다. 



blueh4g_js.js입니다. 이 소스 또한 크게 신경 쓸 부분은 아닌 것 같습니다. get_Cookie 함수에서 get_Cookie('chat_id') 등을 입력하면 채팅에 설정된 id가 나타난다는 것만 알고 있으면 될 것 같습니다.(실제 문제 풀이에는 쓰이지 않는 함수였습니다.)



위에서 확인했던 chatlog.php?t=1을 접속했을 때의 화면입니다. 13828은 마지막으로 저장했던 index+1, 즉 앞으로 저장 될 ni의 값입니다.



그렇기 때문에 chatview.php에서 ni의 값을 13827(13828-1)로 입력해주면 마지막으로 채팅했던 값이 반환되며



그 이전의 값을 입력하면 최근 채팅부터 그 index에 해당하는 값까지 모두 출력이 됩니다.



여기서 select문을 사용하는 것 같은 느낌이 들어, and와 or문을 적절히 이용하여 request를 날려보았더니, 역시나 쿼리가 먹힙니다.



그렇다면 위와 같이 if문을 이용하여 SQLi를 시도 할 수 있을 것 같습니다.



파이썬으로 테이블 명을 찾는 스크립트를 작성했습니다.

42번째 index에 우리가 찾고자 하는 테이블 명을 알아 낼 수 있었습니다.



딱 봐도 여기에 플래그가 있다고 광고하는듯한 테이블입니다.



다음으로 컬럼 값을 찾아보았습니다. 이번에는 486번째 인덱스에 우리가 찾는 컬럼이 있었습니다.



README! 이전의 SimpleBoard 문제가 생각이 나네요.



이제 flag 값을 찾아내는 스크립트를 작성해봅시다.

chat_log_secret 테이블에서 readme 칼럼 값을 빼옵니다.



그러면 Key 값을 얻어낼 수 있습니다.

'Wargame > Wargame.kr' 카테고리의 다른 글

[Wargame.kr] Forensics_650_img recovery  (0) 2016.05.24
[Wargame.kr] Misc_650_pyc decompile  (0) 2016.05.23
[Wargame.kr] Web_600_SimpleBoard  (0) 2016.05.21
[Wargame.kr] Web_600_tmitter  (0) 2016.05.20
[Wargame.kr] Web_550_type confusion  (0) 2016.05.19

Wargame.kr

Web_600

SimpleBoard


600점짜리 문제입니다.

Union을 이용한 SQL Injection 문제라고 하네요.

스크립트가 필요할 것이라고 합니다. 문제를 확인 해 보도록 하죠.




들어가보면 게시판이 하나 있습니다. 해당 제목을 클릭하면 글의 내용이 보여지며 HIT수가 올라갑니다.

소스를 확인해보죠.



read 함수의 where 구문에 $idx를 살펴보면 Single Quotation이 없습니다. 따라서 이 부분을 공격 벡터로 이용하여 SQL Injection을 먹일 수 있을 것 같습니다.

사실 이 문제의 경우 union을 이용한 SQL Injection이라고 하였지만, 계속 넣어봐도 query error만 뱉어내고 작동을 안해서... Blind SQL Injection을 이용하여 풀이했습니다.



파이썬 스크립트를 작성하여 테이블 이름을 찾아보았습니다.



limit 41, 1 을 걸어주었을 때 SIMPLEBOARD 테이블이 나왔고 40, 1을 걸어주었을 때 README라는 테이블 또한 뱉어냈습니다.

아마 README 안에 FLAG가 들어있을 것 같습니다.

다음은 COLUMN을 찾아보겠습니다.



limit 480,1을 걸어주었습니다.



column 중 FLAG라는 이름을 가진 컬럼이 있습니다.



이제 select 구문을 이용하여 flag를 따낼 차례입니다.



짠!

'Wargame > Wargame.kr' 카테고리의 다른 글

[Wargame.kr] Misc_650_pyc decompile  (0) 2016.05.23
[Wargame.kr] Web_650_web chatting  (0) 2016.05.23
[Wargame.kr] Web_600_tmitter  (0) 2016.05.20
[Wargame.kr] Web_550_type confusion  (0) 2016.05.19
[Wargame.kr] Web_550_strcmp  (0) 2016.05.18

Wargame.kr

Web_600

tmitter


admin 계정으로 로그인하라고합니다.




문제를 확인 해 보니 회원가입과 로그인 버튼이 하나씩 있습니다.



회원가입 버튼을 눌러보니 가입 폼이 나타나네요.



아이디와 패스워드는 각각 4자리, 7자리 이상이어야 하며 힌트로는 admin으로 로그인 하라는 메시지 뿐입니다.

우리는 맨 처음 문제 페이지에서 확인했던 DB 구조를 이용하여 문제를 풀이 할 것입니다.

ID의 경우 32바이트까지만 DB에 저장을 합니다. mysql의 특성상 저장 한도를 넘으면 그 뒤를 잘라내고 저장을 하는데, 이러한 특성을 이용하여 admin 계정을 새로 만들 수 있습니다.



위와 같이 크롬의 개발자 도구에서 maxlength를 33으로 늘려주고 마지막에 한 문자를 붙여준다면 trim() 함수 적용으로 공백이 사라지고, 뒤의 a는 사라지면서 admin이라는 문자열만 남게 됩니다.



따라서 admin으로 로그인이 가능해지고 플래그를 획득 할 수 있습니다.





Gossip

- 사실 저는 위 WriteUp대로 풀지 않았습니다..

- 위 WriteUp은 구글링 해서 찾은 방법입니다.

- 저는 뭘 어떻게 했는지는 모르겠는데

- 하다 보니 admin으로 로그인이...

- 아직도 뭘 어떻게 했는지 모릅니다.

'Wargame > Wargame.kr' 카테고리의 다른 글

[Wargame.kr] Web_650_web chatting  (0) 2016.05.23
[Wargame.kr] Web_600_SimpleBoard  (0) 2016.05.21
[Wargame.kr] Web_550_type confusion  (0) 2016.05.19
[Wargame.kr] Web_550_strcmp  (0) 2016.05.18
[Wargame.kr] Web_500_md5 password  (0) 2016.05.18

Wargame.kr

Web_550

type confusion




php의 data type에 관련된 문제같습니다. 문제를 확인해봅시다.


텍스트박스 하나와 check 버튼 하나가 우릴 맞이해주고있습니다.

view-source 링크를 타고 소스를 확인 해 보죠.




gen_key 함수에서 uniqid 함수와 sha1 암호화를 통해 키를 생성하는데, usleep 함수때문에 프로그래밍을 통한 때려맞추기는 못할 듯 싶습니다.

그렇다면 답은 if문에 있을 것입니다.

if문을 지나게 되면 json 형식으로 code 값에 true를, flag 값에 Key값을 넣어 return 해주네요.

util.js 부분을 살펴봅시다.



아까 소스에서 확인했던 code 부분이 true 일 때 flag를 뱉어주네요.




구글링을 통해 확인 한 php 비교연산 테이블입니다.

"php"라는 문자열과 TRUE의 값을 비교했을 때 TRUE를 반환하는 것을 알 수 있습니다.

우리가 json의 key value에 true를 넣어준다면 if문이 우회가 될 것입니다.

네. 생각대로 flag를 뱉어줍니다.




References

- Chris Smith_(PHP Magic Tricks: Type Juggling)

'Wargame > Wargame.kr' 카테고리의 다른 글

[Wargame.kr] Web_600_SimpleBoard  (0) 2016.05.21
[Wargame.kr] Web_600_tmitter  (0) 2016.05.20
[Wargame.kr] Web_550_strcmp  (0) 2016.05.18
[Wargame.kr] Web_500_md5 password  (0) 2016.05.18
[Wargame.kr] Web_500_md5_compare  (2) 2016.05.18

Wargame.kr

Web_550

strcmp




550점대로 넘어왔습니다. strcmp 함수의 취약점을 이용한 문제인것같습니다.



문제에 접속하니 패스워드와 체크하는 버튼이 우릴 기다리고 있습니다.

view-source를 눌러 소스를 확인해봅시다.



POST로 값을 입력받아 password 변수와 비교를 하여 strcmp 함수의 결과로 0을 반환시키면 Flag를 뱉어주네요.

password 변수의 경우 더미값을 이용한 rand()로 생성한 랜덤값이기 때문에 추측하기 어렵습니다.

따라서 정상적인 방법으로는 패스워드를 맞출 수 없습니다.


이렇게 다른 패스워드 값을 넣어준다면  Wrong passwrod.. 메시지를 출력합니다.

구글링을 통해 찾아보니 PHP 5.3+ 버전에서는 strcmp 함수에 string 값이 아닌 Array 값을 입력 해 주었을 때 0을 반환한다고 합니다.

이러한 특성을 이용하여 인증을 우회해봅시다.



burpsuite를 이용하여 POST로 값을 요청해주었습니다.

password 값을 배열로 인식하도록 만들어준 후, 값을 요청해 준 결과 플래그를 뱉어내는 것을 확인 할 수 있습니다.

'Wargame > Wargame.kr' 카테고리의 다른 글

[Wargame.kr] Web_600_tmitter  (0) 2016.05.20
[Wargame.kr] Web_550_type confusion  (0) 2016.05.19
[Wargame.kr] Web_500_md5 password  (0) 2016.05.18
[Wargame.kr] Web_500_md5_compare  (2) 2016.05.18
[Wargame.kr] Web_500_fly me to the moon  (0) 2016.05.17

Wargame.kr

Web_500

md5 password



이번에도 md5에 관련 된 문제입니다.


단순하게 패스워드를 입력 받는 텍스트박스와 로그인 버튼이 있습니다.

무엇을 원하는 문제인지 모르니 get source 링크를 타고 들어가 소스를 확인 해 봅시다.




md5($ps, true)를 이용하여 풀이하는 문제네요.

md5($ps, true)는 md5 hash를 16진수로 리턴하는게 아닌, 바이너리로 리턴을 해줍니다.



위 블로그에 나온 대로 1' or '1같은 바이너리가 나오도록 만들어주는 md5 hash 값을 찾아내면 됩니다.

ex에 나온 숫자를 그대로 입력해줍시다.





References

- bbolmin(http://bbolmin.tistory.com/77)

'Wargame > Wargame.kr' 카테고리의 다른 글

[Wargame.kr] Web_550_type confusion  (0) 2016.05.19
[Wargame.kr] Web_550_strcmp  (0) 2016.05.18
[Wargame.kr] Web_500_md5_compare  (2) 2016.05.18
[Wargame.kr] Web_500_fly me to the moon  (0) 2016.05.17
[Wargame.kr] Web_500_DB is really GOOD  (0) 2016.05.17

Wargame.kr

Web_500

md5_compare


이번 문제는 md5를 비교하는 문제인 것 같습니다.

그냥 단순하게 다른 값을 가지고 비교를 하라고 하네요.




문제에 접속했을 때의 화면입니다. value1과 value2를 비교하는 폼이 있네요.

view-source를 클릭하여 소스를 확인 해 보도록 하죠.


v1은 ctype_alpha함수로 알파벳만 들어와야 하며, v2는 is_numeric 함수를 사용하여 숫자만 들어와야 합니다.

하지만 세 번째 if문에서는 md5로 hash한 값이 같아야만 chk 변수가 true로 남아있을 수가 있네요.




이는 php magic hash 취약점을 이용하여 우회 할 수 있습니다.

이는 문자열이 아닌 0e로 시작되는 값을 서로 비교할때, 문자열이 아닌 float형으로 인식하게 되면서 0의 지수형을 나타내는 변수로 바뀌게 됩니다. 그래서 0=0 꼴로 인식하게 되어 true를 반환하게 됩니다.





'Wargame > Wargame.kr' 카테고리의 다른 글

[Wargame.kr] Web_550_strcmp  (0) 2016.05.18
[Wargame.kr] Web_500_md5 password  (0) 2016.05.18
[Wargame.kr] Web_500_fly me to the moon  (0) 2016.05.17
[Wargame.kr] Web_500_DB is really GOOD  (0) 2016.05.17
[Wargame.kr] Web_450_login filtering  (0) 2016.05.17

Wargame.kr

Web_500

fly me to the moon





이번에는 자바스크립트로 만들어진 게임이네요. 치팅 방지 시스템을 우회하여 게임을 클리어하는 것이 우리의 목표입니다.




저기서 클릭하여 게임을 시작하고, Score를 31337점까지 올리는 것이 우리의 목표입니다.

물론 직접 31337점을 만들어도 되지만... 힘들잖아요?

소스를 확인해봅시다.



윗부분에는 style에 관련된 코드이고, 우리에게 중요한 부분은 역시 스크립트쪽이죠!



packing 되어 있는 자바스크립트를 언패킹 해주는 웹페이지에 복사하여 언패킹 해봅시다. 여기에 추가적으로 JSBeautifulier를 적용하여 예쁘게 만들어줍시다.




sublime text로 열어 확인해보는데, 중간에 type, url, data를 어딘가로 보내는 부분이 있습니다. 수상하지 않나요?

그리고 token이 변수이기 때문에 어디서 값을 할당받는지 확인해봅시다.



updateToken 함수에서 할당을 해주네요. 이제 이 값들이 어떤 값인지 확인 해 봅시다. _0x32bb 배열은 스크립트 시작부분에 고정값으로 선언되어있습니다.



첫 번째로 봤던 코드에서 type은 POST, url은 high-scores.php, data는 token=토큰&score=점수(BTunnelGame[getScore]()) 인 것을 알 수 있습니다.

더불어, 토큰은 token.php에서 받아오네요.



token.php에 접근하면, 이 때마다 랜덤한 숫자 값이 할당됩니다.




하지만 할당받은 직후 그 값으로 high-scores.php에 접근하면 PARAM ERROR가 나타나네요. token 부분이 아마 시간에 따라 값이 변화하며, 일정 시간 안에 해당하는 토큰을 high-scores.php에 넣어줘야만 flag가 출력되는 형식인 것 같습니다. 이 부분이 바로 prevent cheating system인 것 같네요.

python으로 스크립트를 작성해줍시다.




token.php에 먼저 접근하여 token을 받아 준 후, high-scores.php에 접근하여 score 값을 넘겨줍시다.




Flag를 깔끔하게 뱉어주네요.


'Wargame > Wargame.kr' 카테고리의 다른 글

[Wargame.kr] Web_500_md5 password  (0) 2016.05.18
[Wargame.kr] Web_500_md5_compare  (2) 2016.05.18
[Wargame.kr] Web_500_DB is really GOOD  (0) 2016.05.17
[Wargame.kr] Web_450_login filtering  (0) 2016.05.17
[Wargame.kr] Web_450_WTF_CODE  (0) 2016.05.17

Wargame.kr

Web_500

DB is really GOOD



이번 문제는 게시판에 낚여 꽤 애먹었습니다... 삽질 끝에 플래그가......ㅠㅠ


DB에 관련된 문제같습니다. 시작하죠.




문제에 접속하면 다음과 같은 화면이 나오는데, admin을 입력해보니 admin에는 접근 할 수 없다고 나옵니다.

여기서 user 이름을 아무렇게나 작성해주면 게시판이 나오는데, 거기서 허우적대다가 몇시간을 날려먹었습니다... 문제 힌트대로 처음부터 Username을 파봤어야했는데..



입력 가능한 특수문자를 모두 넣어보던 중 / 를 입력했을 때 db connect 오류가 발생하는 것을 알 수 있었습니다.






위 두가지 오류로 알 수 있는 것은 /home/www/db_is_really_good/db/wkrm_username.db로 db가 생성된다는 것을 알 수 있습니다.

그렇다면 접근이 금지된 admin db를 확인 해 보면 뭔가 있을 것 같습니다.




바로 접근해서 db를 다운 받아줍시다.



DB오류에서 DB는 SQLite3라는 것을 알아냈고, SQLite browser를 이용하여 해당 db를 까보니 memo 테이블에 플래그에 관련된 메모가 하나 남아있었습니다.


해당 메모를 열어보면 flag를 뱉어내는 php 주소를 보여줍니다.

'Wargame > Wargame.kr' 카테고리의 다른 글

[Wargame.kr] Web_500_md5_compare  (2) 2016.05.18
[Wargame.kr] Web_500_fly me to the moon  (0) 2016.05.17
[Wargame.kr] Web_450_login filtering  (0) 2016.05.17
[Wargame.kr] Web_450_WTF_CODE  (0) 2016.05.17
[Wargame.kr] Web_450_flee button  (0) 2016.05.16

Wargame.kr

Web_450

login filtering




계정을 가지고 있지만 정지된 상태라고 합니다.

필터링을 우회 할 수 있는 지 알아보는 문제입니다.




소스를 확인 해 보면 mysql_real_escape_string 함수로 addslash를 하고 있습니다. 이로 인해 single quotation과 같은 sql 문에 영향을 끼칠 수 있는 특수문자는 제한이 되었습니다. sql injection을 이용하지 않고 id가 guest 또는 blueh4g일 때 flag를 출력해 주는 것 같습니다.




소스 아래에 주석으로 blocked 된 계정 정보를 알려주고 있습니다.



guest/guest로 로그인 했을 때의 화면입니다.

your account is blocked라는 메시지를 출력하고 끝나네요. 



여기서 ID 부분에 guest가 아닌 대문자를 추가 해 준다면, 쉽게 우회가 가능합니다.

원리는 MYSQL에서는 대/소문자 구분을 하지 않지만 php에서는 대/소문자를 구분하기 때문에 $id에는 대문자로 입력이 되지만, 쿼리문이 실행 될 때는 guest와 동일한 결과 값이 출력됩니다. 따라서 $id는 guesT이지만, 쿼리의 결과값인 $row['id']는 존재하기 때문에 플래그가 출력이 됩니다.

'Wargame > Wargame.kr' 카테고리의 다른 글

[Wargame.kr] Web_500_fly me to the moon  (0) 2016.05.17
[Wargame.kr] Web_500_DB is really GOOD  (0) 2016.05.17
[Wargame.kr] Web_450_WTF_CODE  (0) 2016.05.17
[Wargame.kr] Web_450_flee button  (0) 2016.05.16
[Wargame.kr] Web_300_QR CODE PUZZLE  (0) 2016.05.16

+ Recent posts