🏰 🏰

SECURITY/Webhacking

• Webhacking.kr:: old-54번

  SECURITY/Webhacking 2021. 1. 25. 14:32

  문제 페이지에 들어가면 이렇게 Password is [] 로 내용이 바뀐다. 조금 있으면 다음과 같은 화면에서 멈춘다(끝난다). 이제 script 를 보자. index 를 바꿔가며 responseText 를 20ms 마다 출력하는 구문이다. if(x.responseText) setTimeout("answer("+i+")", 20); seTimeout 은 첫번째 인자를 20ms 의 딜레이를 준 후 실행시키는 함수이다. 즉, responseText 가 남아있을 경우 20ms 마다 출력해주고, if(x.responseText=="") aview.innerHTML="?"; responseText 가 "" 즉, 다 출력했다면 ? 을 출력하고 끝나는 것이다. 결국 이 코드를 좀 변형시켜서 console 에서 작성해..

  Read More
• Webhacking.kr :: old-39번

  SECURITY/Webhacking 2021. 1. 25. 11:58

  문제 페이지는 다음과 같다. 소스를 보자. 중요한 것은 sql 구문이다. db 에서 id의 길이가 14 이하이고, 입력한 id와 일치한 값이 있으면 1 을 반환하는 sql 구문이다. 그리고 id=':$_POST['id']} 로 끝나서 ' 이 제대로 안닫혔다. 그래서 값을 넣고 ' 로 끝내주면 되는데, 그 전에 ' 을 입력하면 '' 로 replace 한다. 근데 그 후에 substr 로 0,15 로 자른다. 그래서 14 글자짜리 무언가를 입력하고 ' 을 추가하면 해결된다. 즉, [14글자]' 는 [14글자]'' 로 치환되고, substr 에 의해 [14글자]' 로 15개만 남는 것. 그래서 admin ' 를 입력하면 끝

  Read More
• Webhacking.kr :: old-38번

  SECURITY/Webhacking 2021. 1. 25. 11:54

  Injection 문제다. 그냥 admin 을 넣어보면 다음과 같이 뜬다. 소스를 보면, admin.php 가 admin page 라고 설명해주고 있다. 거기로 이동해보자. 다음과 같이 뜬다. 내 ip 주소와 내가 입력했던 값들과 함께.. 음.. 로그니까 \r\n 로 새로운 로그로 인식하게 만들 수 있겠다. log ingection 이 로그 파일을 조작할 수 있는 건데, log 에 [진짜 내용] \r\n [가짜 내용] 을 넣어주면 log 파일에는 다음과 같이 저장되는 것을 이용하는 것이다. [ip주소]: [진짜 내용] [가짜 내용] 어쨌든 엔터의 효과를 보면 되니까 간단하게, 저 input 공간을 textarea 로 바꿔주고, 엔터치고 자기 ip:admin 으로 하면 풀린다. 여기에 test [ip주소]..

  Read More
• Webhacking.kr :: old-26번

  SECURITY/Webhacking 2021. 1. 25. 11:34

  입력하는 란이 아무것도 없지만, get 으로 id 를 가져오니 url 창으로 입력을 작성할 수 있겠다. 그냥 admin 을 넣어보자. 역시 no! 가 뜬다. 이유는 admin 이 있으면 그냥 no! 한다.. 근데 중간에 urldecode 하고 나서 admin 이면 solve 이다! 그러니까 admin 을 urlencode 한 걸 작성해보자. a 의 percent encoding 문자는 %61 이다. 이걸 넣어주면.. 이거 자체가 URL 이니까 자동으로 admin 으로 바꿔서 넘어간다. 그러니 이중으로 URL encoding 을 해야 한다. 즉, %61 을 URL Encoding 한 값을 넣어줘야 한다. 그 값은 %2561 이다. (JS 에서 decodeURL(), encodeURL() 을 지원하니 Chr..

  Read More
• Webhacking.kr :: old-06번

  SECURITY/Webhacking 2021. 1. 25. 11:17

  문제는 다음과 같고, source 는 다음과 같다. 그냥 전체 source 를 보면 좀 길어보일 수 있지만 이것만 보면 된다. 여기서 보면 cookie 에서 user, password 값을 받아온 뒤에 replace 를 하고 base64 decode 를 20 번 수행한다. 그 결과가 admin 과 nimda 면 slove 하는 것이다. 이럴 경우는 역으로 진행해보면 된다. admin 과 nimda 를 base64 encode 를 20 번 수행시켜 본다. 그리고 중간의 필터링은 base64 encoding 으로는 별 해당하는 게 없으니까 그대로 cookie 에 넣어주면 된다. (값이 엄청 길다~) size 가 약 2600 이고 이걸 그대로 넣어준다~ encode 는 그냥 kotlin 으로 대충 짜서 했다...

  Read More
• Webhacking.kr :: old-24번

  SECURITY/Webhacking 2021. 1. 25. 11:00

  먼저 source 를 보면, cookie 에서 ip 에 REMOTE_ADDR 을 받아와 . 12 7 0 을 공백으로 치환하는 구문을 실행한 후, ip 가 127.0.0.1 이면 solve 할 수 있다는 것을 볼 수 있다. 그래서 cookie 에 REMOTE_ADDR 을 만들어서 127.0.0.1 을 넣어본다. 역시 다 필터링 되어서 1 만 출력된다. 근데 일단 12 을 필터링한 뒤에는 다시 12 를 필터링하지 않는다. 즉, 1122 를 넣으면 중간의 12 만 필터링하고 그 뒤에 12 는 '살아남는다' 라는게 된다. 이를 이용해서 풀 수 있어 보인다. cookie 에 112277...00...00...1 를 넣어준다. 성공적으로 풀 수 있다. 추가 설명 하자면, 112277...00...00...1 이 필..

  Read More
• Webhacking.kr :: old-14번

  SECURITY/Webhacking 2021. 1. 25. 10:44

  script 를 보자. 버튼을 누르면 ck() 함수가 실행되는데, document.URL 을 받아와서 .kr 의 위치에 30을 곱한다. 그 값이 패스워드(입력값) 랑 같아야 하는데... 일단 .kr 의 위치는 18 이고, 여기에 30을 곱하니 540 이다. 540 을 입력해봤지만 별 내용이 안나온다. 그래서 그냥 임의로 540 일 때 이동하는 페이지를 그대로 넣어준다. ul == pw.input_pwd.value 일 때 ul 의 값은 540 이고, 그때 이동하는 페이지는 ul*pw.input_pwd.value 이니까 291600 을 넣어주면 된다. 이러니 성공한다..ㅎㅎ

  Read More
• Webhacking.kr :: old-18번

  SECURITY/Webhacking 2021. 1. 25. 10:31

  들어가면 다음 화면이다. 코드를 보자. guest 의 id 가 1, admin 은 2 임을 확인했다. 근데 일단 id 가 guest 로 되어있으니.. 1을 넣어보면 다음과 같다. 그리고 코드를 보면 알듯.. 적당히 SQL Injection 구문을 넣으면 no hack 이 뜬다. 우회 방법이 필요. 일단 넣은 구문은 =0 or no=2 이다. (select id from chall18 where id='guest' and no=0 or no=2) (no=2 를 검색하게 하는 구문이다) 여기에 스페이스가 있는게 문제이니 url code 를 사용해본다. url code 로 space 는 %20, tab 은 %09 이다. %20으로 했더니 안돼서 %09로 했다. 결과는 이거~

  Read More