'Solve Problem/Webhacking.kr'에 해당되는 글 34건

view-source를 통해 소스코드를 확인해보자.

일단 포인트부터 잡아보자면 id와 pw를 addslashes를 통해 공격을 방어하지만 6번 라인에서 mb_convert_encoding 함수를 통해 id 파라미터를 euc-kr로 변환시켜주므로 이 부분이 포인트임을 알 수 있다.

내가 정리해둔 포스팅을 통해 우회할 수 있으므로 id 부분을 통해 SQL Injection을 진행하면 될 것으로 보인다.

https://rootable.tistory.com/entry/addslashes-mysqlrealescapestring-%EC%9A%B0%ED%9A%8C

여기서 문제 solve를 하기 위해 lv 3을 해야 하므로 limit 기능을 이용하여 찾아보았다.

하지만 lv 2까지는 나오지만 3는 나오지 않는 것을 통해 테이블 내에 lv 3가 존재하지 않다는 것을 파악한 뒤 다시 소스코드를 보았다.

id로 넘어오는 값에서 union을 체크하는 것으로 보아 pw 부분에서 union을 이용하여 진행할 수 있을까를 생각해보았다.

id 부분에서 백슬래시를 넣어 싱글쿼터를 무력화 시킨 뒤 union을 이용하면 가능할 것이라 생각하였다.

이것을 정리하면 다음과 같은 쿼리가 된다.

문제 접근하여 admin 페이지에 접근하면 로그인 페이지가 뜨는데 여기서 그냥 취소를 누르면 view-source 버튼이 있다.

소스코드를 확인해보자.

소스코드를 보면 다음과 같이 2가지 부분을 해결해야 한다.

먼저 아래부분을 보면 로그인하는 부분인데, 여기서는 그냥 간단히 SQL Injection을 통해 pw를 모르는 상태에서도 로그인이 가능하다.

id 부분에 [admin'-- ]을 입력하면 로그인이 가능하다.

하지만 위에서 로컬에서 접근한 것인지 확인하는 부분에 의해 차단되어 flag 값을 획득할 수 없다.

이 때 proxy.php 기능을 이용하면 로컬에서 접근이 가능하다.

위의 사진과 같이 proxy.php에 접근하여 page 파라미터에 %0d%0a를 통해 CRLF를 이용하면 내가 원하는 헤더를 proxy request에 추가하여 보낼 수 있다.

이를 이용하여 위에서 인증하여 얻은 Authorization 값과 세션 값을 넣어주면 문제가 solve된다.

(추가) Authorization 값만 넣으면 세션을 생성하여 다시 페이지를 요청하기 때문에 flag가 뜨지 않고, 세션 값만 넣으면 인증되지 않았다고 뜨므로, 두가지 값을 모두 한번에 넣어주어야 한다.

해당 문제는 Blind SQL Injection을 통해 solve하였다.

rank.php에 접근하면 하단에 다음과 같은 코드가 제공된다.

이는 메인페이지에서 score를 등록하였을 때 데이터베이스에 insert하는 구문으로 보인다.

여기서 보면 테이블 마지막 컬럼에 flag가 저장되는 것을 볼 수 있는데, rank.php에서 제공되는 데이터는 아이디와 점수 뿐이다.

일단 and 구문을 이용하여 blind sql injection이 가능한 것을 확인한다.

이제 이를 이용하여 flag를 획득하면 되는데 insert 구문에서 컬럼명을 제공해주지 않았기 때문에 진행할 수가 없다.

이와 같이 컬럼명을 알지 못할 때 이용할 수 있는 것이 바로 procedure analyse() 이다.

procedure analyse()는 SELECT 구문의 마지막에 사용되며 쿼리에 의해 리턴되는 값들에 대한 통계가 일부 표시된다.

아래는 procedure analyse() 함수의 예시이다.

보는 바와 같이 첫번째 컬럼의 값들이 [데이터베이스명.테이블명.컬럼명] 으로 이루어져 있음을 확인할 수 있다.

이 기능을 이용하여 해당 문제를 풀 수 있다.

다음과 같이 procedure analyse()를 이용하게 되면 응답에 Field_name이 출력되며, LIMIT 기능을 이용하여 원하는 컬럼명을 획득할 수 있다.

이후 python 코드를 통해 FLAG를 획득하였다.

해당 문제는 Time Based SQL Injection을 통해 문제를 풀었다.

insert 할 때마다 pw 컬럼에 flag를 입력하기 때문에 se 파라미터로 받는 op 컬럼에서 time base로 pw를 확인할 수 있다.

Python3를 이용하여 Efficient SQL Injection 코드를 작성한건 처음이라 적어둔다.

해당 문제는 Race Condition과 관련된 문제이다.

1. !is_numeric($_COOKIE['PHPSESSID'])

 : 그냥 로그인을 한 뒤 접근하게 되면 화면에 Access Denied가 뜨게 된다.

 이는 위의 is_numeric 함수에 의한 것인데, 쿠키의 PHPSESSID 값이 숫자로만 이루어진 것이 아니라면 Access Denied가 뜬다.

 해당 함수를 우회하기 위해 단순히 요청 상의 PHPSESSID 값을 숫자로 변경할 경우 로그인한 세션값이 바뀌게 되어 login_chk() 함수에서 걸리게 된다.

따라서 위의 함수를 우회하기 위해서는 로그인할 때부터 세션값을 숫자로 설정해주어야 한다.

나는 Set-Cookie 헤더를 이용하여 이를 우회하였다.

아래 사진과 같이 로그인 이후 응답 값 헤더에 Set-Cookie를 추가하고 설정할 PHPSESSID 값을 입력해주면 이후부터 해당 세션값을 가지고 통신을 하게 된다.

2. unlink 

 : 요청을 한 클라이언트가 로컬(127.0.01)이 아닐 경우 생성하는 txt 파일을 1초 후에 삭제하도록 되어있다.

여기서 중요한 포인트는 sleep(1) 이다.

즉, 로컬이 아닐 경우에도 1초 동안은 해당 txt 파일이 서버에 존재한다는 것이다.

이를 통해 해당 문제가 Race Condition 문제임을 예상할 수 있다.

내가 삽질한 것은 하나의 세션을 가지고 Race Condition을 하려한 점이다.

위키백과에 따르면 race condition이란 "공유 자원에 대해 여러 개의 프로세스가 동시에 접근을 시도할 때 접근의 타이밍이나 순서 등이 결과값에 영향을 줄 수 있는 상태"를 말한다.

여기서 여러 개의 프로세스가 동시에 접근을 해야하는데, 세션 값이 하나일 경우라면 한 txt 파일에 동시에 접근하는 것이 아니라 이전 접근이 끝날 때를 기다렸다가 접근하기 때문에 절대 문제를 풀 수가 없다.

따라서 다른 브라우저에서 로그인 후 동일한 idx를 가지는 세션 값을 하나 더 만들어 준뒤 동시에 접근하도록 하면 문제가 solve 된다.

(참고) https://ko.wikipedia.org/wiki/%EA%B2%BD%EC%9F%81_%EC%83%81%ED%83%9C

해당 문제는 그렇게 어려운 문제는 아니였다.

하지만 SMTP 프로토콜을 이용한 문제를 접해보지 않았었기 때문에 기록삼아 남겨둔다.

해당 문제에 접근하면 아래와 같이 send 버튼을 통해 메일을 전송한다.

아래에서 네번째 줄을 보면 FLAG{?????} 라고 하여 메일 내용으로 FLAG 값을 전송함을 확인할 수 있다.

그래서 메일 전송을 나에게도 보내도록 하면 solve될 것이란 생각으로 접근

%0d%0a를 이용하여 개행을 시도해보니 내가 원하는 문자열이 들어감을 확인할 수 있다.

이제 나에게 메일을 보내도록 하기 위해 To: [이메일계정]을 써보았지만 메일은 오지 않았다.

위에서 작성되어있으며 Overwrite는 되지 않는 것으로 보였다.

따라서 다른 방식으로 접근을 하다가 참조로 이용되는 Cc 혹은 Bcc를 이용해보고자 하였다.

따라서 다음과 같이 subject를 입력해주면 나에게 메일이 오는 것을 확인할 수 있다.