HACKINTOANETWORK

WEB APPLICATION BUG HUNTER, PENETRATION TESTER

Wargame/HackCTF

해당 url을 눌러 이동해보자. 이동하였더니 로그인 창이 뜬다. 아무런 값이나 넣어 로그인 해보았는데 로그인이 되었다. 로그인이 되면 위와 같은 페이지가 나온다. 1 부터 10까지 다 눌러본 결과는 다음과 같다. Slow and steady win the race. Everything will be done if you try hard. Success doesn't come overnight. Slow to resolute, but in performance quick. If the wind will not serve, take to the oars. Opportunity seldom knocks twice. No sweat, no sweet. Let your nose go in front, but do..

2022. 3. 27.

Wargame/HackCTF

해당 url로 이동해보자. 이동하면 위와 같은 로그인 페이지가 나온다. 처음에는 로그인 페이지만 보고 SQL 인젝션 문제인지 알았지만 그게 아니었다.. 개발자 도구로 보니 위와 같이 로그인 페이지 JS 소스가 주어졌다. 소스를 보니 Username과 Password를 받아서 코드를 실행하는데 Username의 길이가 9자리면 코드가 실행된다고 한다. 자바스크립트 코트 아래쪽에 id="cresponse"라는 필드가 있다. 9글자인 걸 보니 Username이 "cresponse"라고 알려주는 듯 하다. "cresponse"를 넣어 로그인 버튼을 누른 후 개발자 도구 콘솔에서 아래와 같은 buf 문자열을 얻었다. 'na d8f08r_hzXk\x15bl\x03hh["{.\x7F+r.\'s1q=%|?dretv/#..

2022. 3. 27.

Wargame/HackCTF

해당 url로 이동해보자. 이동하면 위와 같은 문구가 나온다. 한번 더 링크를 따라 이동해보자. 한번 더 이동했더니 위와 같은 페이지가 나온다. 우선 코드를 보았다. 코드를 보니 입력칸에서 SSRF(Server Side Request Forgery) 공격이 가능한 것 처럼 보였다. SSRF는 @를 이용하여 취약점을 발생시킨다. 개발자 도구에서 아래와 같이 변경해주자. 변경한 후 입력 칸에 flag.php를 적어 /flag.php로 이동하려 시도해보았다. 하지만 Nop이라는 문구와 함께 이동에 실패하였다. 아마 내부에서 127.0.0.1을 필터링 하나 보다. 필터링을 우회하는 방법에는 Decimal : 2130706433 Hex : 0x7f000001 등이 있다. 그 중에서 Hex 값을 이용해 우회를 시도..

2022. 3. 26.

Wargame/HackCTF

해당 url로 들어가보자. url로 들어가면 위와 같이 개꿀맛 쿠키라는 문구와 쿠키 사진이 나타난다. 문제 이름과 문제 페이지에서 부터 쿠키를 조작하는 문제임을 알 수 있다. BurpSuite을 켜서 프록시로 http request를 잡아보았다. 쿠키 부분이 의심스러워서 디코더 기능으로 base64로 3번 디코딩 해보았는데 아래와 같은 문자열이 출력되었다. id 부분을 1로 바꿔주고 type 부분을 admin으로 바꿔서 다시 똑같이 3번 인코딩 해주었다. 인코딩된 값을 쿠키에 넣어 아래와 같이 http request를 보내보았다. 하지만 아래와 같이 패스워드 틀림이라고 뜨면서 Flag가 출력되지 않았다. 그래서 좀 구글링을 해보았는데 이 문제는 php strcmp 취약점을 이용해 푸는 문제였다. Pass..

2022. 3. 26.

Wargame/HackCTF

해당 url로 들어가보자. url로 들어가면 위와 같은 페이지가 반겨준다. 문제를 보면 "머리말"이란 문구를 강조하고 있다. IP 주소와 머리말을 살펴보았을 때 Header를 생각할 수 있었고, 구글에서 http header ip를 입력했을 때 X-Forwarded-For(XFF)가 나오는 것을 볼 수 있었다. X-Forwarded-For(XFF)란? HTTP Header 중 하나로 HTTP Server에 요청한 client의 IP를 식별하기 위한 사실상의 표준 헤더이다. BurpSuite를 사용하여 XFF 헤더를 추가해주도록 하자. X-Forwarded-For: 127.0.0.1 X-Forwarded-For: 127.0.0.1을 추가해주었고 request를 하면 flag 값이 출력되는 것을 볼 수 있다..

2022. 3. 24.

Wargame/HackCTF

해당 url로 들어가보자. 해당 url로 들어가면 위와 같은 페이지가 반겨준다. flag를 원하면 입력칸에 flag를 입력하라고 한다. 입력창에 flag를 치면 NO Hack~이라는 문구가 출력되고 플래그가 출력되지 않음을 확인할 수 있다. 소스를 보니 주석으로 힌트가 있다. Array Type check 취약점에 대해 검색을 해보니 strcmp의 취약점이 나왔다. strcmp에서 array 값을 넣으면 php 버젼별로 결과값이 다르다. php 5.2 : 1 or -1 (Array를 문자열로 인식) php 5.3 : null null == 0 이 되므로 true가 된다. 단, null === 0은 false post 방식으로도 취약점이 발생한다고 한다. 아래와 같이 Array 형태로 flag를 입력하면 ..

2022. 3. 24.

Wargame/HackCTF

문제를 클릭하여 해당 url로 접속해보자. 해당 url로 이동하면 해당 페이지의 php소스와 입력폼, 제출 버튼을 확인할 수 있다. 소스를 보면 is_numeric 이라는 함수가 쓰인다. is_numeric 함수는 정수형을 포함해 지수 표현까지도 숫자로 인식한다. is_numeric 함수는 지수 표현을 허용하니 우회가 될테고, sleep 함수는 int형 변환 과정에서 소숫점이 짤리면서 5가 되어, 결과적으로 5초만 기다리면 flag가 나오는 현상이 발생할 것이다. 따라서 time 변수에 지수 값을 넣어 is_numeric 함수와 sleep 함수를 우회해주면 될 것 같다. 5,184,000 값을 위 링크의 지수 계산기에서 지수로 바꿔보면 '5.184e+6'이 된다. 입력 칸에 '5.184e+6' 을 넣어 ..

2022. 3. 23.

Wargame/HackCTF

문제를 클릭하여 해당 url로 접속해보자. 해당 url로 이동하면 "해쉬에 마법을 부여하면 그 어떤 것도 뚫릴지어니..."라는 문구와 입력폼, 제출 버튼, View Source 버튼, 이상한 사진 하나를 확인할 수 있다. View Source 버튼 버튼을 눌러 소스를 확인해보자. Nah... 소스를 보면 md5로 암호화한 해시와 입력한 값이 SHA1으로 암호화 됐을때 같으면 플래그가 출력된다고 한다. 다시 돌아가서 첫 화면에서의 "해쉬에 마법을 부여하면 그 어떤 것도 뚫릴지어니..." 라는 문구에 주목해보자. 이 문구를 통해 이 문제가 PHP에 존재하는 Magic Hash 취약점에 대한 문제임을 유추할 수 있다. PHP Magic Hash 취약점은 PHP에서 == 을 통해 비교 시 생기는 타입 형 변환에..

2022. 2. 10.