'분류 전체보기'에 해당되는 글 438건

문제에 접근하면 /flag.php에 접근하는데 "you are not local"이라고 뜬다.

로컬로 접근하면 되는 것인가 하여 X-Forwarded-For로 접근을 해보았지만 가능하지 않았다.

밑에 링크를 클릭하면 다음과 같이 Search user 페이지가 뜨며, 여기서 user에 문자열 입력 후 [제출]을 클릭하면 op.gg 페이지에서 해당 문자열에 대해 유저를 검색한다.

해당 요청을 잘 보면 POST 방식으로 다음과 같이 요청을 보낸다.

여기서 url 부분에 op.gg가 있는 것을 보아 다른 페이지에도 접근이 가능한지 google.com을 이용해보았다.

하지만, 이에 필터링에 의해 응답으로 "Nonononononono~"가 출력되었고 이는 간단히 @를 이용하여 우회할 수 있었다.

아래와 같이 요청을 보내 google.com에 접근이 가능함을 확인하였다.

이제 로컬의 flag.php에 접근하기 위해 로컬 IP로 변조하여 아래와 같이 요청하였다.

하지만 이에 대한 응답으로 Nop이라고 왔고, 127.0.0.1, localhost에 대해 필터링이 되어있음을 알 수 있었다.

이를 우회하기 위해 나는 0.0.0.0을 이용하였다.

flag.php에 접근하기 위한 요청은 다음과 같다.

추가적으로 다음과 같은 쿼리로도 FLAG 획득이 가능하다.

query=/flag.php&url=http://www.op.gg@0

query=/flag.php&url=http://www.op.gg@2130706433 (2130706433은 127.0.0.1을 IP Decimal 형태로 변환한 것)

query=/flag.php&url=http://www.op.gg@0177.0.0.1 ( 0177은 8진법으로 나타낸 127 )

참고 ) 

https://www.ipaddressguide.com/ip

https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Server%20Side%20Request%20Forgery#bypass-localhost-with-

https://pentester.land/cheatsheets/2018/11/02/open-redirect-cheatsheet.html

Mysql에는 특별한 주석이 존재한다.

그것은 바로 버전 별로 주석이 동작하는 /*! */ 형태이다.

아래 몇가지 형태를 보자.

현재 쿼리를 실행하는 버전은 5.7.12 버전이다.

1) select * from test2 from id=1 or id=2

 - 해당 쿼리를 통해 test2 테이블에 id가 1인 데이터와 2인 데이터가 존재함을 확인

2) select * from test2 from id=1 /*! or id=2*/

 - 이 경우 MySQL의 버전에 상관없이 항상 /!* */ 부분의 쿼리가 실행된다.

 - 만약 필터링이 union select와 같이 연결하여 설정되어 있을 경우 union/*!select*/으로 우회가 가능하다.

3) select * from test2 from id=1 /*!50000 or id=2*/

 - 이 경우 MySQL 버전이 5 이하일 경우에만 주석이 실행된다. 현재 쿼리를 실행한 Mysql은 5.7.12버전이기 때문에 주석이 실행되지 않아 id=2인 데이터까지 출력이 된다.

 -현재 버전이 5. /*!60000 */로 변경할 경우 쿼리를 실행한 버전이 5.X이기 떄문에 6 이하이기 때문에 해당 주석이 실행되어 id=1인 데이터만 출력이 된다.

 - 결론 : /*![버전] */ 일 때 해당 데이터베이스가 해당 버전 이하일 경우에만 주석처리가 된다!

4) select /*!50000 1/0, */1 from test2

 - 해당 경우 실제 웹 어플리케이션에서 조회하는 부분에 이용할 수 있는 쿼리이다.

 - 좌측의 쿼리는 버전이 5.0 이하가 아니기 때문에 주석이 실행되지 않아 NULL이 출력되며, 우측의 쿼리는 버전이 6.0 이하이기 때문에 주석이 실행되어 정상적으로 1만 출력됨을 볼 수 있다.

- 이를 조금 더 나아가면 50000 부분을 조금씩 수정해가며 응답을 봐서 데이터베이스의 정확한 버전정보를 알 수 있다. 아래 쿼리들 처럼 정확히 현재 DB의 버전이 5.07.12임을 확인할 수 있다.

 - jwt 모듈이 있다면 간단하게 jwt.encode(payload,key,algorithm)으로 할 수 있다.

 ex) jwt.encode({'user':'rootable','role':'admin'},'',algorithm="none")

참고) https://github.com/sobinge/PayloadsAllThesobinge/tree/master/JSON%20Web%20Token

문제에 접근해보자.

unique id를 찾아서 입력을 하면 문제가 풀릴꺼같다.

일단 간단하게 test를 입력하고 Search를 눌러주면 아래와 같이 친절하게 에러를 보여준다.

그래서 Error based SQLI 인가 싶어 진행을 해보았다.

https://babyweb.rootersctf.in/index.php?search=0+order+by+1 (에러발생 X)

https://babyweb.rootersctf.in/index.php?search=0+order+by+2 (에러발생 X)

https://babyweb.rootersctf.in/index.php?search=0+order+by+3 (에러발생 O)

에러 발생이 되지 않을 때 아래와 같이 SELECT 쿼리문을 보여주기 때문에 테이블명이 users임을 알 수 있고 위의 order by를 통해 users 테이블에는 컬럼이 2개임을 알 수 있다.

이후 having 절을 통해 컬럼명을 찾아보려했는데 에러가 발생되지 않고 정상적으로 실행되길래 몇번 삽질과 함께 검색을 하다 아래와 같은 사이트를 찾았다.

http://www.securityidiots.com/Web-Pentest/SQL-Injection/Error-Based-Injection-Subquery-Injection.html

여기서 소개해준 기법을 통해 아래와 같이 쿼리를 만들어서 원하는 데이터 추출이 가능함을 확인하고 쭉쭉 풀었다.

users 테이블의 컬럼명은 user와 uniqueid이며 이 중 uniqueid를 아래 쿼리를 통해 획득하였다.

해당 값을 입력해주니 FLAG가 출력되었다.