skyhell

문제의 첫 화면은 이거다. 일단 다운받아보자.

압축을 푸니 avd라는 폴더명으로 폴더가 생기고 안에 저렇게 들어있다. 그럼 ini파일을 읽어보자.

일단 config.ini를 보면 저렇게 나와있다. 보면 cpu타입이 arm이고, 플랫폼은 안드로이드-10임을 알수있다. 그리고 abi타입이 armeabi인것도 알수있다.

그리고 emulator-user.ini를 보자. 이건 크기를 나타내는것같다.

마지막으로 hardware-qemu.ini를 보면 이렇게 나와있다. 나중에 필요하면 다시 보도록하고 길어서 그냥 넘기자.

나는 android studio를 이용해서 avd를 만들어줄것이다. 지금 커서를 올린 AVD Manager를 들어가보자.

Create Virtual Device를 눌려서 아무 기종이나 선택해주자. 나는 Nexus One을 선택해주었다.

그리고 아까 봤던것과 같이 API Level은 10으로 ABI는 armabi로 되어있는 Gingerbread를 선택해주었다. 여기서 많이 막혔었는데 저게 Download버튼이 없었고 다운로드되어있지 않은것같았다.

그래서 사진을 보면 커서가 올려져있는 SDK Manager가 있다. 저기를 들어갔다.

그리고 밑에 보이듯이 Gingerbread를 체크해주었다. 그러면 아주 잘 동작한다.

그렇게 만들고나서 저기 Show on Disk를 클릭하여 폴더를 들어간다.

그리고 이미지 파일 3개를 덮어쓰기해준다.

그다음 아까 만든것을 저기 커서가 올라가있는 Launch this AVD in the emulator를 클릭해서 연다.

그러면 이렇게 잠금화면이 뜨게된다. 저기 뒷쪽에 보이는 배경화면이 flag인 것 같다. 그럼 여기서 adb를 쓰도록 하자.

나는 이렇게 adb를 따로 설치하여 주었다. 이것을 사용해서 풀어보자.

cd C:\adb를 통해서 adb를 실행할수있게 해주고 adb pull /data/data/com.android.settings/files/wallpaper D:\aaa를 통해 배경화면을 추출해준다. 뒤에 D:\aaa는 자신이 임의로 만들면 된다.

그렇게 아까 파일을 들어가보면 저렇게 배경화면이 추출되어져 있다.

그림판으로 들어가보면 저렇게 키가 나오게 된다. 플레그에서도 알수있듯이 adb사용을 물어보는 문제였다. 나한테는 굉장히 어렵고 도전적인 문제라서 시간이 많이 걸리기는 했지만 익히고나서보니 쉬운 문제인것같다.

문제를 보면 저렇게 주고 키를 찾으라고 한다. 이건 수업시간에 배운 비제네르 같다. 사이트로 들어가서 풀어보자.

https://www.guballa.de/vigenere-solver 나는 이 사이트에 가서 풀었다. 그랬더니 저렇게 키가 나왔다. 저걸 그대로 입력했는데 안되서 봤더니 키는 대문자라고 한다. 그래서 대문자로 넣어서 인증받으니 풀렸다. 배운것을 쓰니 기분이 좋은것같다.

문제를 들어가보면 이렇게 나와있고 저것을 들어가보면 모스부호로 들리는 소리가 나온다. 그 음악파일을 다운받은뒤 goldwave로 열어보았다.

저기서 긴것은 -로 하고 짧은것은 .로 하여서 메모장에 정리한후에 모스부호표에 넣어보았다.

그랬더니 답이 나왔다. 푸는데 꽤 오래걸린 문제였다.

문제를 들어가면 이렇게 그림이 하나 나와있다. 제목이 End Of Image라서 일단 그림을 다운로드 해봐야될것같다,

HXD로 열어보니 PNG파일이 맞는것같다. 그럼 끝으로 가보자.

모든 PNG파일은 IEND로 끝나야되는데 이 이미지 파일은 FF D9로 끝나고 있다. 그러면 분명히 JPG이 겹쳐있는것이다. 일단 그럼 IEND를 검색해서 찾아보자. 검색 단축키는 ctrl+F이다.

저기 IEND가 보인다. 그리고 JPG파일의 헤더 시그니처인 FF D8까지 찾을수있다. 그럼 그곳부터 끝까지 잘라서 파일을 만들어보자.

플레그가 나오게된다. 상당히 재밌는 문제였다.

문제를 들어가보면 저런 입력창만 있다. 소스코드를 봐도 별 쓸모있어 보이는 내용은 없었다.

aaa를 쳐보니 그냥 저렇게 떴다. 이건 내가 좋아하는 기법중 하나인 command injection같았다. 바로 ;ls를 쳐봤는데 아무것도 나오지 않는다......

아마 필터링 되어있을 것이다. ;aaa를 치니 나왔다. 그럼 ls와 ;가 필터링 되어있음을 알수있다. 필터링을 우회하는것은 곧있으면 포스팅하겠지만 간단하게 싱글쿼터와 엔퍼센트를 이용할것이다.

필터링은 우회했지만 echo명령어가 붙어있는것같다. 앞쪽에 싱글쿼터를 한번더 이용해서 빼고 넣어보자.

답이 나왔다. 주소창에 쳐주자.

간단하게 풀렸다.

들어가보면 그냥 이렇게 나와있다. c언어 처음 배웠을때가 생각나는 문구만 덩그러니 나와있다. 소스코드를 보자.

index.phps로 들어가보자.

그냥 여러가지를 필터링하고 있고 answer은 hidden_table이랑 같아야된다. 한번 값이나 넣어보자.

당연히 저기 나와있듯이 "?val="을 이용해서 넣어준다. 일단 1을 넣어봤더니 위와같이 떴다. test인걸보니 별로 안중요해보인다.

2를 넣으니 guest이다. 이것도 딱히 중요해보이지는 않는다.

3을 넣으니 우리가 가장 원하는 admin이 나왔다. 여기서 끝낼수도 있지만 일단 4를 한번 넣어보자.

4를 넣으니 zombie가 떴다. 역시 아까전에서 끝내는게 맞았다. 그럼 여기서 어떻게 풀까?

procedure analyse()를 쓰면 된다. 테이블의 정보들이랑 몇몇가지 다른 정보들이 출력된다.

당연히 3번에 써주었다. 쓰는 방법은 그냥 뒤에 붙이기만 하면 된다.("?val=3 procedure analyse()") 그랬더니 중간에 테이블 이름이 나온다. 그것을 적어서 쿼리 전송을 누르면 된다.

그러면 이렇게 문제가 풀리게된다. 상당히 재밌는 문제였다.

헤더 인젝션을 하라고 한다. 그냥 쿠키를 생성하면 된다고 한다.

헤더생성을 누르면 저렇게 된다. 그럼 쿠키를 만들어보자.

그냥 쿠키를 만들어주었다.

그랬더니 아무것도 바뀌는게 없었다. 근데 클리어 조건을 잘 읽어보니 그냥 %0aclear: tiger8135라고 하면 될것같다.

그랬더니 진짜 풀렸다. 간단한 헤더 인젝션 문제였다.

문제를 처음 시작하면 위와같이 뜬다. 소스코드를 보자.

일단 저렇게 3개의 파일이 보인다. kk.js부터 들어가보자.

일단 그냥 kk에 주소를 넣고 11번째부터 4개를 kk에 저장하라고 한다. 그럼 kk는 hack이 되겠다. 여기서 11번째인 이유는 배열은 0부터 시작하기 때문이다. 다들 알겠지만 그냥 적어봤다.

kk2.js를 들어가봤다. hackme.swf를 kk에 저장시키고 embed 태그를 써서 출력시킨다. embed 태그는 외부 응용프로그램이나 플러그인을 삽입하는 태그이다.

hackme.swf를 들어갔더니 저런 파일이 다운받아진다. 일단 hxd로 열어보자.

보면 주소가 있다. 저걸로 들어가보자.

그랬더니 문제가 풀렸다. 실수로 새로고침을 누르는 바람에 저렇게 뜨는것같다. 별로 어렵지는 않은 문제였다.

일단 대충보니 어떻게 푸는건지 모르겠다. 저 링크를 클릭해보자.

일단 readme라고 했으면서 access denied를 당했다. admin이니깐 그러려니 하고 넘어가자.

hi~를 들어가보니 그냥 hi~라고 되있다. 별 쓸모없는것같다.

a라고 치니깐 갑자기 admin과 guest두개가 다 사라졌다.......

어? 이건 설마 하고 hi~를 치니 guest가 나왔다. 그럼 우리는 저기 readme에 들어가있는 값을 노가다로 찾으면 된다. 아까전 포스트에 말했듯이 파이썬이 안되서 진짜 노가다로 찾아야된다ㅎㅎㅎ

깔끔하게 언더바(_)로 일단 글자수를 확인했다. 6글자이다.

그리고 아마 입력하는 부분이 없으므로 주소창에 쳐줘야될것이다. 그럼 끝이 아마 .php가 되지 않을까? 역시 맞췄다.

이제 나머지 2글자를 찾아야한다.

p, h, k만 되는것같다. 대충 섞어보자.

kk.php가 정답이였다. 파이썬의 소중함을 알수있게 해주는 문제였다.

무슨 순위표가 있다. 일단 join을 눌려서 계정을 만드니 내 아이디로 자동으로 만들어졌다.

거기다 투표를 하니깐 1이 되었는데 중복투표를 막아두었다.

이름만 봐도 저 아이가 중복투표를 막아주는 아이같다. 깔끔하게 쿠기 금지시키기로 막아보자.

5번쯤 하다보니 귀찮아졌다. 저렇게 100번을 눌려야 되는것 같은데 내 인내심으로는 절대 안된다. 파이썬 코드를 짜볼까 했는데 생각해보니 지금 파이썬으로 뭔가를 하고 있어서 돌리지 못한다...........

그래서 burp suite를 또 꺼내왔다. 바로 Repeater기능을 이용하기 위해서이다. 깔끔하게 저걸로 100번 아니 96번 클릭 해주었다.

결국에 풀기는 풀었는데 하다보니 후회가 되기는 했다. 어쨌든 그냥 파이썬을 쓰면 금방 풀릴 문제였다.