M4ndU의 만두만두한 블로그

client ip와 agent 정보를 확인할 수 있고

아래에는 wrong IP라고 적혀 있다. 일단 ip값을 맞추면 되는 문제라고 추측해볼 수 있다.

소스를 보자.

$ip가 127.0.0.1이 되면 문제가 풀린다.

extract 함수는 배열의 키값을 변수화 시켜주는 함수이다. 12행에 extract($_COOKIE); 가 있기 때문에

cookie에 REMOTE_ADDR="abcd"를 넣어주면, $REMOTE_ADDR의 값이 "abcd"가 되어 13행에서 $ip에 "abcd"값이 들어가게 된다.

17~20행에서 특정 문자열이 치환되는 것을 고려하여 결과가 127.0.0.1이 되는 입력값은 112277...00...00...1 이다.

따라서 쿠키에 REMOTE_ADDR라는 이름에 값을 112277...00...00...1으로 설정해주면 된다.

문제 페이지에 들어가면 입력받는 폼이 하나 있고 check 버튼이 하나 존재한다.

이 것외에 아무것도 없기 때문에 페이지 소스를 확인해 보았다.

check 버튼을 클릭하면 sub()함수가 호출이 된다.

sub()함수를 보면 입력된 값 (pw)가 unlock이랑 값이 같으면 URL?unlock/10 페이지로 이동한다.

크롬 개발자도구 콘솔을 이용하여 해당 페이지로 바로 이동하면 문제가 풀린다.

문제 페이지로 접속을 하면 소스를 볼 수 있는 링크가 있으며, id와 pw가 적혀 있다.

view-source를 클릭하여 소스코드를 확인하자.

4~33행은 cookie에 user값이 없으면, id와 pw를 각각 guest, 123qwe로 두고 인코딩하여 쿠키값을 설정하는 과정이고, 44~68행은 설정된 user와 password 쿠키값을 디코딩하는 과정이다.

73행에서는 디코딩된 id와 pw값이 각각 admin, nimda라면 문제가 풀리는 것을 알 수 있다.

인코딩 과정을 보면, 먼저 평문을 base64로 20번 인코딩하고 str_replace함수로 문자를 치환한다.

이 과정을 그대로 python으로 작성하여 id와 pw를 admin과 nimda로 두면 인코딩된 쿠키값을 얻을 수 있다.

실행 결과:

쿠키 값 설정은 크롬 확장프로그램 중에서 editthiscookie를 사용했다.

설정 후 페이지를 새로고침하면 문제가 풀린다.

CustomOS

Run Disk.img at Virtual Machines
Disk.img is Floppy Disk

- thx to KSHMK

해당 img파일은

qemu-system-i386.exe -fda Disk.img

이렇게 부팅이 가능하다. (관리자권한필요)

부팅은 했는데.. 디버깅은?

login with crypto! but..

sucker_enc is sucks.

Can you login?

php overflow를 이용하는 문제다.

52행 쿼리문에서 sucker_enc($ssn) 값이 매우 길어져서 쿼리문이 매우 길어지면 쿼리 실행에서 overflow가 나서

mysql_query함수가 false를 반환하게 된다.

그럼 mysql_fetch_array(Flase)는 null 값을 반환한다.

66행에서 get_password(...)의 값이 null이 되고, pass값에 아무입력을 하지 않으면

"" == null이 참이되어 admin으로 로그인이 가능하다.

ssn에 값을 너무 크게 주면 php가 터져버린다.

Fatal error:  Allowed memory size of 134217728 bytes exhausted (tried to allocate 56391681 bytes) in /var/www/html/login_with_crypto_but/index.php on line 39

이 오류메세지를 참고해서 ssn의 값의 크기를 조절하면 된다.

DLL with notepad

DLL Reverse Engineering Challenge.

Can you reversing DLL File?

파일이 두개 들어있는 압축파일이 주어진다.

notepad.exe는 메모장과 별 다를게 없어보인다.

blueh4g13.dll 파일을 ida로 열어서 shift+f12로 문자열을 확인해 보았다.

oh!로 시작하는 문자열을 찾을 수 있다.

sub_100010C0에서 사용되었다.

ollydbg로 notepad.exe를 열어서 view> Executable modules로 들어간다. (Alt+E)

거기서 blueh4g13.dll 파일을 찾아서 더블클릭.

F9로 실행을 한 뒤, dll 파일에서 문자열을 확인해 주면 key값을 찾을 수 있다.

QnA

Time based SQLi challenge. (with Insert Query)

you can't see the result after insert query.
but you can SQLi Attack!

time based sqli를 사용해야하나 보다

to JSMater에서 type에서 sqli이 일어난다.

lonely guys에서 사용했던 스크립트 거의 그대로 사용하면 된다.

dmbs335

SQL injection Challenge!
(injection)

- thx to dmbs335

표가 하나 있고, 하단에 검색 도구가 존재한다.

소스를 보자

핵심만 가져왔다.

검색을 하게 되면 ?search_cols=subject&keyword=1234&operator=or  이렇게 get 방식으로 값을 전달한다.

operator의 경우, 22행에 의해 and나 or로만 설정이 된다.

search_cols도 33행 필터링에 의해 subject|content|writer 밖에 못 들어간다.

인젝션을 할 만한 곳을 찾아야 한다.

초기화를 하지 않는 변수가 있다.

query_parts 인데, parse_str함수를 사용하였기 때문에 query_parts에 내가 원하는 값을 넣어버릴 수가 있다.

search_cols에 subject|content|writer 를 제외한 다른 값 (ex: a)를 넣고

operator에는 or 넣어주고

query_parts에 1 union select 1,2,3,4#을 넣는다고 하면,

34~36행을 실행되지 않게 되며, 최종 쿼리가 아래와 같이 된다.

select * from board where 1 union select 1,2,3,4# or   order by idx desc

인젝션 성공!

테이블명 쏙 가져오고

http://wargame.kr:8080/dmbs335/?search_cols=a&operator=or&query_parts=1%20union%20select%201,table_name,3,4%20from%20information_schema.tables%23

칼럼명 쏙 가져오고

http://wargame.kr:8080/dmbs335/?search_cols=a&operator=or&query_parts=1%20union%20select%201,column_name,3,4%20from%20information_schema.columns%23

f1ag

http://wargame.kr:8080/dmbs335/?search_cols=a&operator=or&query_parts=1%20union%20select%201,f1ag,3,4%20from%20Th1s_1s_Flag_tbl%23

Crypto Crackme Basic

Simple Reverse Engineering.

Can you Reversing for C# Application?

c#으로 된 프로그램은 jetbrains의 dotpeek을 사용하면 된다.

이름과 패스워드를 입력받는데

이름은 BluSH4G이어야 하고, 패스워드는 name과 함께 myEncrypt함수를 통과한 값과 getps(name)값과 같아야 한다.

getps(name)값은 아래 url로 받아올 수 있다.

http://wargame.kr:8080/prob/28/ps.php?n=BluSH4G

2P+SLRAhCTi7q0fVZR4VCnBNDzq9qemqIcZwUQ7PV5e03KyChSw6bEcJz0MBVYFo

이제 myEncrypt함수를 살펴보자

DES 암호화

ECB 모드

bytes1 값은 mPadding(name)

name은 BluSH4G로 7자리다.

따라서 s는 BluSH4G* 이 된다.

bytes1은 key값이 된다.

이걸로 복호화를 때려보자

https://encode-decode.com/des-ecb-encrypt-online/

복호화를 하면 flag가 바로 나온다.

crack crack crack it

.htaccess crack!

can you local bruteforce attack?

john the ripper 를 사용하면 될 것 같다.

단, jtr은 문자 포멧을 따로 받을 수 없다.

그래서 스크립트를 짜서 wordlist를 만들어서 넘겨주어야 한다.