skyhell

원래 그냥 순서대로 하려고했는데 7번문제가 오류로 안풀린다는 말을 듣고 그냥 쉬운거먼저 풀기로 했다. 그래서 가장 점수가 낮은 50점짜리를 일단 풀겠다.

처음 들어가면 이게 뜨면서 처음페이지로 돌아온다. burp suite를 이용해서 풀어도 상관없고 나가지는 동작을 차단해도 되겠지만 이 문제는 그냥 저번에 배웠던 view-source기능을 이용해서 풀어보겠다. 튕기기전에 주소창을 보면 주소가 나와있을것이다.

역시 나와있다. 그럼 이 주소앞에 view-source:를 추가하면 나가지는 동작을 하기 전에 이 페이지의 소스를 볼수있을것이다. 한번해보자.

역시 답이 나왔다. 이 방법은 아직 burp suite의 사용이 힘들거나 실행시키기도 귀찮을때 쓰면 될것같다.

처음 들어갔을때 화면이다. 딱봐도 index.phps를 클릭해봐야 할것같다.

소스를 보면 id와 pw가 admin으로 일치하는것을 볼수있다. 또 출력되는 id와 pw값이 base64로 20번 디코딩한것이라는 것을 볼수있다. 그럼 값을 넣을때 base64로 20번 인코딩해서 넣으면 될것같다. 값이 admin인것을 볼수있으므로 admin을 base64로 20번 인코딩해보자.  

인코딩한값을 pw와 user에 각각넣어주었다. 그리고 새로고침을 누르면

문제가 풀리게 되었다. 20번 돌리기가 약간 귀찮은 문제였다.

첫 화면이다. 정말 들어가보고싶게 만들었다. 일단 Login부터 들어가보자.

그냥 일반적인(사실 일반적이진 않지만) 로그인폼이다. 아무값이나 넣어보자.

id를 admin으로 해줘야 한다고 한다.

원하는대로 admin으로 바꿔주니 비밀번호가 틀렸다고 한다.ㅜㅜ

할수없이 나가서 Join을 눌려보니 접근이 거부되었다고 한다.

그래서 소스를 보니 저런 문장이 있다. 내가 좋아하는 directory traversal인것 같다. 바로 주소창뒤에 /mem을 쳐본다.

역시 맞았다. 아까 들어가자마자 접근이 거부된 join.php를 눌려보자.

빈 화면이지만 소스를 보면 난독화된 소스들이 있다. 대충 파이썬으로 해독해보면 url에 mode=1이 있어야하고 쿠키값에는 oldzombie가 있어야 한다.

그럼 회원가입창이 나온다. 여기서 id에 admin을 넣고 비밀번호에 abcd를 넣어보자.

아무래도 admin을 차단해주는 기능이 있는것 같다. 살짝 우회해보자.

최대 글자수를 6으로 바꿔주고 'admin '이렇게 해준다. 뒤에 한칸 띄워줘서 우회하는 방법이다.

이러면 성공적으로 회원가입이 되었다. 이제 다시 돌아가서 로그인해보자.

풀리게되었다. 이건 난독화된 코드를 해독하는것이 핵심인 문제인것 같다.

첫 화면이다. 정말 아무것도 없다. 저 위에 문자열을 보니 뒤에가 '=='으로 끝난다. 딱봐도 base64같아서 디코딩을 해보았다. c4033bff94b567a190e33faa551f411caef444f2 이 값이 나왔다.  40자리였고 16진수였으니 160비트이다. sha-0와 sha-1이 있었다. 근데 sha-0는 거의 안들어봤기 때문에 그냥 sha-1으로 디코딩 해보았다.

역시 된다. 한번더 해보자.

역시 답이 나왔다. 이건 그냥 머리 식히라고 준 문제같았다.

이게 첫 화면이다. 네모네모 퍼즐이다. 옛날에 진짜 좋아했던건데 잘된것같다.

풀면 이런것이 나온다.

아무값이나 일단 넣어보았다.

이름이랑 답과 ip주소가 나온다. 인젝션을 한번 써보겠다.

이렇게 '||'을 통해 저값이거나 1이되면 답이 되게 만들고 1을 넣어보았다.

그러자 답이 나왔다. 기본적인 인젝션 문제였다.

첫 시작화면이다. 어떤 아저씨가 명상하고 있는것같다. 그건 중요한게 아니니 일단 소스를 먼저 보자.

admin이 대놓고 올라와있다. 감사한 마음으로 들어가보자. 대충 다른 좌표랑 비교해보니 우측상단인데 저기 용이있는곳이 클릭이 된다. 저거같으니 들어가 보자.

아주 기본적인 로그인 창이다. 별로 얻을게 없는 것 같으니 다시 돌아가서 게시판을 들어가보았다.

글이 하나 보인다. 들어가보자.

잠겨있었다. 이런....

근데 아까전부터 쿠키값에 time이라는게 있었다. 일단 index를 들어가보기로 했다. index.php를 주소창뒤에 붙여주기만 하면 된다. 똑같은데 소스를 보면 살짝 차이가 있다.

현재 시간값이 나온다. 이러면 아마 쿠키값은 php시간함수를 사용하는 것 같다.

거짓값을 쿠키에 넣어봤다.

그랬더니 거짓값이 나왔다.

그럼 이제 참값을 넣어보자.

아까보다 1초가 더해졌다. 여기서 우리는 참일때와 거짓일때의 반응이 다르다는 것을 알아냈다. 그렇다면 blind sql injection을 해야될것이다. 하기전에 추측을 한번 해봐야 할 것 같다. 일단 게시판에 FreeB0aRd라는 글씨가 있다. 이걸 테이블로 한번 guessing 해봐야 할것같다. 쿼리문을 1506877571 and (select ascii(substring(password,1,1))from FreeB0aRd)<50으로 일단 쳐보았다. 거짓이였다..... 1506877571 and (select ascii(substring(password,1,1))from FreeB0aRd)<60은 진실이였다.ㅎㅎ 그럼 중간값을 넣어보자. 1506877571 and (select ascii(substring(password,1,1))from FreeB0aRd)<55 거짓이였다. 1506877571 and (select ascii(substring(password,1,1))from FreeB0aRd)>55 또 거짓이다. 그럼 나온것 같다. 마지막으로 1506877571 and (select ascii

(substring(password,1,1))from FreeB0aRd)=55을 넣어보았다.

진실이였다.ㅎㅎ 근데 이제 첫글자를 알아냈다. 이렇게 해선 곧 포기할것같으니 코딩을 한번 해보자.

이렇게 코딩을 해준뒤에 돌리면

비밀번호값이 나온다.

그 다음에 그 값을 게시판에 써주면 파일을 다운받을수 있다. 다운받아보자.

비밀번호가 걸려있다. 2번문제인데 뭐가 이렇게 귀찮게 했는지는 모르지만 일단 아까 admin에가서 비밀번호를 넣어보자.

그럼 또 메뉴얼 패스워드를 준다.  그걸 아까 비밀번호가 걸린 압축파일에 넣으면

이렇게 풀리게 된다. 2번치고 굉장히 복잡한 문제였다.

접속해보면 검은화면에 덩그러니 이것만 나와있다. 여기서 해볼수있는건 소스를 보는것밖에 없어보인다. 한번 소스를 봐보자.

당연하게도 1번문제답게 바로 나왔다. 주소창뒤에 이어서 쳐보자.

passwd는 안나와있는데 쿠키값을 설정해주면 풀릴것같다. 6이상의 값이 들어가면 쿠키값이 1로 바뀐다. 근데 5보다 크면 풀리게된다. 그럼 5초과 6미만의 값이 들어가면 될것같다. 바로 바꾸어보자.

그냥 무난하게 5.5를 쿠키값으로 넣어주고 새로고침을 하면 문제가 풀리게 된다. 아 참고로 쿠키값을 변조할때 사용한 툴은 크롬 확장브라우저중 하나인 'Edit This Cookie'이다. 1번문제답게 머리를 그다지 사용할 필요가 없는 문제였다.