hack_woong hack_woong

Install files 빈 페이지를 출력한다. 문제 설명을 살펴보면 phpBB를 알고있냐고 물어본다. phpBB는 전자 게시판 프로그램으로 PHP 언어로 작성되었고, 데이터베이스로 MySQL이나 PostgreSQL을 사용한다. phpBB는 파일이 업로드되면 /phpbb/install을 추가하여 브라우저가 /phpbb/install/을 가리키도록 해야한다. 따라서, "./phpbb/install"에 접근하면 install.php 파일을 확인할 수 있다. install.php 파일에 접근하면 빨간 부분의 FLAG 값을 얻을 수 있다.

HTTP - Verb tampering 문제 페이지에 접속하면 alert로 로그인창이 뜬다. 취소를 누르면 인증이 필요하다고 한다. 하지만 로그인할 사용자이름과 비밀번호에 대한 단서가 보이지 않는다. 문제 이름인 HTTP Verb tampering은 HTTP Verb(HTTP Method) 인증 및 접근 제어 메커니즘의 취약점을 악용하는 공격이다. 만약 관리자가 GET 또는 POST Method를 차단되도록 설정한다면, 사용자는 GET 또는 POST Method로 요청할 시 차단되지만 다른 Method 요청은 차단되지 않는다. Burp Suite를 이용해 요청 헤더에서 HTTP Method를 POST로 바꿔도 인증이 되지 않는다. HTTP Method에는 GET, POST외에도 HEAD, PUT, DEL..

■SSRF(Server-Side Request Forgery) 웹 서비스는 외부에서 접근할 수 없는 내부망의 기능을 사용할 때가 있다. 이 서비스는 관리자만 이용해야 하므로 외부에서 접근할 수 없는 내부망에 위치한다. 외부에서 직접 접근할 수 없지만, 웹 서비스는 내부망 서비스와 통신할 수 있다. 만약 공격자가 SSRF 취약점을 통해 웹 서비스의 권한으로 요청을 보낼 수 있다면, 외부에서 간접적으로 내부망 서비스를 이용할 수 있게된다. 웹 서비스가 보내는 요청을 변조하기 위해서는 요청 내에 공격자의 입력값이 포함되어야 한다. ex) 웹 서비스가 공격자가 입력한 URL에 요청을 보내는 경우 URL에 공격자의 번호가 사용되는 경우 공격자가 입력한 값이 HTTP Body에 포함되는 경우 ■웹 서비스가 공격자가..

XSS - Stored 1 관리자의 쿠키를 탈취하라고 한다. XSS Stored 공격은 웹 서버에 저장되었다가 실행된다. request bin과 같은 HTTP 요청을 받을 수 있는 사이트를 이용해 Message에 를 입력하면 사진 파일이 올라가게 되는데, 이를 관리자가 보게되면 자바스크립트 코드에 의해 관리자의 쿠키를 request bin 주소로 요청하게 된다. ADMIN_COOKIE라는 키를 가진 관리자의 쿠키를 획득할 수 있다.

■UU Encoding 구성 begin encoded data ' end mode : rwx로 파일의 권한을 뜻한다. filename : 파일 이름 ■UU Encoding 방식 ex) woong ASCII(decimal) : 119, 111, 111, 110, 103 ASCII(binary) : 01110111, 01101111, 01101111, 01101110, 01100111 6bit 씩 나누기 : 011101, 110110, 111101, 101111, 011011, 100110, 011100 ASCII(decimal) : 29, 54, 61, 47, 27, 38, 28 +32 : 61, 86, 93, 79, 59, 70, 60 UU Encoded : =, V, ], O, ;, F,

Encoding - UU UU Encoding된 데이터는 항상 begin으로 시작해서 end로 끝난다. 인코딩된 데이터는 begin 다음 줄부터 시작하고, end 전 줄에는 ' 한 줄이있다. 따라서, 인코딩된 데이터는 B5F5R>2!S:6UP;&4@.RD*4$%34R`](%5,5%)!4TE-4$Q%"@`` 이 값을 UU 디코딩 사이트로 디코딩해보면 FLAG를 획득할 수 있다.

HTTP - Improper redirect 이 페이지로 접근하기 위해서는 로그인을 해야한다. 문제 설명을 보면 index 페이지로 접근 권한을 얻으라고 한다. URL창에서 login.php를 index.php로 바꿔보면 다시 login.php로 리다이렉션된다. Burp Suite의 Repeater를 사용하여 요청 헤더에서 URI를 index.php로 바꿔보면 FLAG 값을 구할 수 있다. 이는 HTTP 요청과 응답 시 항상 Proxy Server를 거쳐 데이터가 이동하기에 Burp Suite로 조작이 가능한 것이다.

Open redirect 각 버튼들은 각 사이트로 리다이렉션 해준다. 문제 설명을 살펴보면 웹 페이지에 표시된 것과 다른 도메인으로 리다이렉션하는 방법을 찾으라고 한다. 페이지 소스 코드를 살펴보면 ?url={도메인}&h={32자리 문자열} 형태를 띄고있다. 32자리 문자열이기 때문에 md5를 의심해 볼 수 있다. "https://facebook.com"으로 md5 해시를 생성하면 "a023cfbf5f1c39bdf8407f28b60cd134"가 된다. 즉, h는 도메인의 md5 해시값이다. 다른 도메인도 마찬가지이다. 따라서, ?url={url이 아닌 문자열도 가능}&h={앞의 문자열의 md5 해시값}을 만족하기만 하면 된다. 개발자 도구 Elements 탭에서 HTML을 변경하여 변경한 버튼을 클릭하면..