skyhell

이렇게 나와있다. 소스코드나 보자.

phps를 보자.

이부분이 문제를 푸는 핵심인 것 같다. 일단 변수 ck가 존재하고 그 값이 admin이면 풀린다.

burp suite를 이용해서 잡아보니 이렇게 되어있다. 이제 User-Agent를 바꾸어서 보내자.

이렇게 바꾸어서 보내주자.

그다음 다시 새로고침을 해서 저렇게 바꾸어서 보내주자.

그럼 풀리게된다.

문제를 들어가보면 저런 입력창만 있다. 소스코드를 봐도 별 쓸모있어 보이는 내용은 없었다.

aaa를 쳐보니 그냥 저렇게 떴다. 이건 내가 좋아하는 기법중 하나인 command injection같았다. 바로 ;ls를 쳐봤는데 아무것도 나오지 않는다......

아마 필터링 되어있을 것이다. ;aaa를 치니 나왔다. 그럼 ls와 ;가 필터링 되어있음을 알수있다. 필터링을 우회하는것은 곧있으면 포스팅하겠지만 간단하게 싱글쿼터와 엔퍼센트를 이용할것이다.

필터링은 우회했지만 echo명령어가 붙어있는것같다. 앞쪽에 싱글쿼터를 한번더 이용해서 빼고 넣어보자.

답이 나왔다. 주소창에 쳐주자.

간단하게 풀렸다.

들어가보면 그냥 이렇게 나와있다. c언어 처음 배웠을때가 생각나는 문구만 덩그러니 나와있다. 소스코드를 보자.

index.phps로 들어가보자.

그냥 여러가지를 필터링하고 있고 answer은 hidden_table이랑 같아야된다. 한번 값이나 넣어보자.

당연히 저기 나와있듯이 "?val="을 이용해서 넣어준다. 일단 1을 넣어봤더니 위와같이 떴다. test인걸보니 별로 안중요해보인다.

2를 넣으니 guest이다. 이것도 딱히 중요해보이지는 않는다.

3을 넣으니 우리가 가장 원하는 admin이 나왔다. 여기서 끝낼수도 있지만 일단 4를 한번 넣어보자.

4를 넣으니 zombie가 떴다. 역시 아까전에서 끝내는게 맞았다. 그럼 여기서 어떻게 풀까?

procedure analyse()를 쓰면 된다. 테이블의 정보들이랑 몇몇가지 다른 정보들이 출력된다.

당연히 3번에 써주었다. 쓰는 방법은 그냥 뒤에 붙이기만 하면 된다.("?val=3 procedure analyse()") 그랬더니 중간에 테이블 이름이 나온다. 그것을 적어서 쿼리 전송을 누르면 된다.

그러면 이렇게 문제가 풀리게된다. 상당히 재밌는 문제였다.

헤더 인젝션을 하라고 한다. 그냥 쿠키를 생성하면 된다고 한다.

헤더생성을 누르면 저렇게 된다. 그럼 쿠키를 만들어보자.

그냥 쿠키를 만들어주었다.

그랬더니 아무것도 바뀌는게 없었다. 근데 클리어 조건을 잘 읽어보니 그냥 %0aclear: tiger8135라고 하면 될것같다.

그랬더니 진짜 풀렸다. 간단한 헤더 인젝션 문제였다.

문제를 처음 시작하면 위와같이 뜬다. 소스코드를 보자.

일단 저렇게 3개의 파일이 보인다. kk.js부터 들어가보자.

일단 그냥 kk에 주소를 넣고 11번째부터 4개를 kk에 저장하라고 한다. 그럼 kk는 hack이 되겠다. 여기서 11번째인 이유는 배열은 0부터 시작하기 때문이다. 다들 알겠지만 그냥 적어봤다.

kk2.js를 들어가봤다. hackme.swf를 kk에 저장시키고 embed 태그를 써서 출력시킨다. embed 태그는 외부 응용프로그램이나 플러그인을 삽입하는 태그이다.

hackme.swf를 들어갔더니 저런 파일이 다운받아진다. 일단 hxd로 열어보자.

보면 주소가 있다. 저걸로 들어가보자.

그랬더니 문제가 풀렸다. 실수로 새로고침을 누르는 바람에 저렇게 뜨는것같다. 별로 어렵지는 않은 문제였다.

일단 대충보니 어떻게 푸는건지 모르겠다. 저 링크를 클릭해보자.

일단 readme라고 했으면서 access denied를 당했다. admin이니깐 그러려니 하고 넘어가자.

hi~를 들어가보니 그냥 hi~라고 되있다. 별 쓸모없는것같다.

a라고 치니깐 갑자기 admin과 guest두개가 다 사라졌다.......

어? 이건 설마 하고 hi~를 치니 guest가 나왔다. 그럼 우리는 저기 readme에 들어가있는 값을 노가다로 찾으면 된다. 아까전 포스트에 말했듯이 파이썬이 안되서 진짜 노가다로 찾아야된다ㅎㅎㅎ

깔끔하게 언더바(_)로 일단 글자수를 확인했다. 6글자이다.

그리고 아마 입력하는 부분이 없으므로 주소창에 쳐줘야될것이다. 그럼 끝이 아마 .php가 되지 않을까? 역시 맞췄다.

이제 나머지 2글자를 찾아야한다.

p, h, k만 되는것같다. 대충 섞어보자.

kk.php가 정답이였다. 파이썬의 소중함을 알수있게 해주는 문제였다.

무슨 순위표가 있다. 일단 join을 눌려서 계정을 만드니 내 아이디로 자동으로 만들어졌다.

거기다 투표를 하니깐 1이 되었는데 중복투표를 막아두었다.

이름만 봐도 저 아이가 중복투표를 막아주는 아이같다. 깔끔하게 쿠기 금지시키기로 막아보자.

5번쯤 하다보니 귀찮아졌다. 저렇게 100번을 눌려야 되는것 같은데 내 인내심으로는 절대 안된다. 파이썬 코드를 짜볼까 했는데 생각해보니 지금 파이썬으로 뭔가를 하고 있어서 돌리지 못한다...........

그래서 burp suite를 또 꺼내왔다. 바로 Repeater기능을 이용하기 위해서이다. 깔끔하게 저걸로 100번 아니 96번 클릭 해주었다.

결국에 풀기는 풀었는데 하다보니 후회가 되기는 했다. 어쨌든 그냥 파이썬을 쓰면 금방 풀릴 문제였다.

갑자기 웹쉘을 올려라고 한다. 진짜로 올리면 큰일날것같으니 그냥 그런 형식을 올려라는것 같다.

가장 기본적인 php파일을 올리니 access denied가 뜬다. 힌트를 보니 파일 타입을 바꿔줘야 될 것 같다.

burp suite로 보자. 처음에는 Content-Type이 application/octet-stream으로 되어있다. 당연히 이걸 필터링 할것이다.

그러므로 필터링을 거의 하지 않는 이미지 타입중 jpg로 바꾸어서 전송해보았다.

문제가 풀렸다. 그냥 간단하게 풀수있는 문제다.

오랜만에 휴가를 받아서 글을 다시 쓰게 되었다. 간단하게 문제를 풀어보자. 빨간 부분은 IP주소이다. if부분을 보면 pat이랑 val을 같게 맞추면 Password가 나온다고 되어있다. 위에 pat을 보니 정규식으로 표현되어 있다. 아주 간단한 정규식이니 금방 풀어보자.

처음에 [1-3]은 그중 아무거나 고르라는 것이다. 일단 1을 고른다.

뒤에 [a-f]도 마찬가지인데 {5}로 5번 반복시켜준다.

_는 그냥 쓰고 .은 앞에 한문자를 나타낸다.

*은 0회이상 반복이다. 그리고 IP주소가 나오고 또 .*이 나온다.

\t는 그냥 tab이다.

대충 pat을 맞춰보면 1aaaaa_aIP주소a%09p%09a%09s%09s가 나온다. 주소창에 그대로 쳐보자. 물론 val로 줘야된다.

정규식을 알고있는지 물어보는 간단한 문제였다.

문제를 들어가면 이런 화면이 나온다. 저기 아래의 글을 넣어서 '쿼리 전송'을 누르면 될것같다. 한번 해보자.

no hack이라고 뜨면서 안된다. 그러면 우회를 해야할것같다. 가장 기본적이게 한번 띄어쓰기를 해보자.

값은 들어가지는데 정답으로 안뜬다. 그러면 띄워쓰는것을 %00으로 한번 띄워보자.

문제를 인터넷 익스플로러에서 풀어서 xss자동차단을 당했다. 그래서 크롬으로 들고와서 풀었는데 아까전에 풀때 이미 풀린것같다.ㅜㅜ 일단 이 문제는 XSS에 관한 문제였다. 기본적인 문제여서 딱히 어려운것은 없었다.