M4ndU의 만두만두한 블로그

http://52.79.224.215

Rev

How you find my flag?

150

32bit elf 파일이 주어진다.

main함수에서 flag의 마지막 부분을 찾을 수 있고, I5_My 함수에서 함수 명이 flag의 중간 부분이 된다.

그리고 I5_My에서 문자열을 xor 연산 하는 것을 알 수 있다. 이 xor연산을 돌려주면 flag의 처음 부분이 된다.

http://52.79.224.215

Crypto

Very Easy Crypto

100

ascii85

The Middle Age Crypto

100

https://www.brynmawr.edu/bulletin/codes-and-ciphers-puts-students-test

You Decode it?

175

문제 :

풀이 :

http://52.79.224.215

Pwn

What is bof?

100

exeinfo.exe로 32bit elf 파일임을 알아내고 ida 32bit로 연다.

main() 과 flag()

main:7 에서 입력길이에 제한이 없는 gets() 함수를 사용하므로  ret을 덮을 수 있다.

s는 bp-14h에 위치한다. 

s[20] + sfp[4] + ret[4]     ==========> 24바이트를 덮고 ret을 flag()주소인 0x08048516으로 덮으면 된다.

ex.py

very ezzzzzz!!

100

what is bof? 문제와 동일 하다.

gets함수를 사용하고 있고, s는 bp-40h에 위치한다.

sfp까지 해서 68바이트를 덮고 ret을 get_flag()함수 주소로 덮어주면 된다.

get_flag() : 0x08048556

ex.py

Over the RET

150

main함수에서 vuln함수를 호출하고 인자(a1)로  18273645를 주고 있다.

vuln함수에서는 그 인자(a1)의 값dl 12563478이면 쉘을 실행한다.

a1은 bp+8h에 위치한다.

s[bp-40h]=====64bytes=======sfp[4]==ret[4]==a1[bp+8h]

이고, gets(&s); 를 사용하므로 총72바이트를 덮고 그 다음 값으로 a1을 덮을 수 있다.

ex.py

http://52.79.224.215

Disk Forensic

Emergency!! Leak my source code..

100

access.log를 먼저 봤다. 모든 접근 기록이 담겨 있어서 모든 것을 조사해 볼 수는 없었다. 범위를 좁히기 위해서 다른 파일들을 살펴 보았다.

sad파일에서 수상한 pid를 찾을 수 있다.

               pid    ppid

www-data  5230  5244  0 10:11 ?        00:00:00 php -f /var/www/upload/ws1004/image/hack.php
www-data  5244   814  0 10:11 ?        00:00:00 sh -c php -f /var/www/upload/ws1004/image/hack.php

hack.php와 관련이 있음을 구할 수 있다. hack.php와 관련한 로그만 찾으면 되기 때문에 access.log에서 hack.php를 검색해서 나오는 모든 로그들을 모았다.

[25/Oct/2019:17:18:51 +0900] cHdk
[25/Oct/2019:17:26:23 +0900] bHMgLWFsICAvdmFyL3d3dy91cGxvYWQvd3MxMDA0L2ltYWdlLw%3D%3D
[25/Oct/2019:17:21:12 +0900] dGFyIC1jdmYgL3Zhci93d3cvdXBsb2FkL3dzMTAwNC9pbWFnZS8xMjU5MTIzNzQ5IC92YXIvd3d3Lw%3D%3D
[25/Oct/2019:17:26:40 +0900] cGhwIC1mIC92YXIvd3d3L3VwbG9hZC93czEwMDQvaW1hZ2UvaGFjay5waHA%3D

시각과 쿼리로 넘어가는 명령어만 기록해봤다.

base64로 인코딩 되었는데, 4번째 명령어는 아래와 같다.

php -f /var/www/upload/ws1004/image/hack.php

해당 명령어를 실행하는 쉘의 pid는 5230이다.

따라서 플래그는 N00bCTF{2019-10-25_17:26:40&5244} 가 된다.

SUCCUBUS

문제소스 :

싱글쿼트 ' 을 id와 pw에서 모두 필터링 한다.

id 값에 \을 입력해주면, $query에서 id='\' and pw='' 가 되는데

\' 은 string 싱글쿼트 ' 로 인식하게 된다.

pw 에 or 1%23을 입력해주어서 id를 true로 만들어버리자.

id = '\' and pw =' or 1#'

문제 소스:

이때까지 sql에서 like을 =을 우회하는 용도로만 사용했지만 사실 다른 기능도 있다. (당연히..)

바로 패턴 검색이다.

https://makand.tistory.com/entry/SQL-LIKE-%EA%B5%AC%EB%AC%B8 

패턴 검색을 이용해서 %0%을 넣으면 0이 가운데 들어가 있는 모든 값을 불러오게 되는데,

그 결과 hello guest가 출력되었다.

첫문자% 을 이용해서 pw을 알아내면 된다.

코드 짜서 돌리면 된다.

근데 guest만 나오게 되는데, 이를 봐선 guest의 pw와 admin의 pw의 앞부분이 어느정도 일치하는 걸로 예상할 수 있다.

그래서 이어서 다음 자리까지 찾아나가야 한다.

ex.py

소스:

if(strlen($_GET[shit])>1) exit("No Hack ~_~"); 

shit의 길이가 1보다 크면 죽어버린다.

쿼리 값을 보면 from 과 prob_giant사이에 공백이 없는 것을 볼 수 있다. 

select 1234 fromprob_giant where 1

공백을 넣는 방법에는

%09  (tab \t)

%0a  (linefeed \n)

%0b  (vertical tab)

%0c  (form feed)

%0d  (carriage return \r)

가 있는데

아래 구문에 의해서 몇개는 필터링 된다.

if(preg_match('/ |\n|\r|\t/i', $_GET[shit])) exit("HeHe"); 

\t \n \r이 아닌 %0b나 %0c를 입력해주면 풀린다.

https://los.rubiya.kr

bugbear

문제소스:

pw의 길이를 구하기 위해서 저번에는 no = 1 or id like 0x61646d696e and length(pw) like 8 을 사용했지만,

공백, like, 0x 필터링으로 사용할 수 없게 됐다.

대신 더 우회를 하면 된다.

or, and => ||, &&

id = admin 은 id in ("admin") 으로 우회,

length(pw) like 8은 부등호을 이용해서 length(pw) > 7 && length(pw) < 9 로 우회해준다.

1 || id in ("admin") && length(pw) > 7 && length(pw) < 9

여기서 공백대신 %0a로 공백도 우회해 주면 된다.

1%0a||%0aid%0ain%0a("admin")%0a%26%26%0alength(pw)%0a>%0a7%0a%26%26%0alength(pw)%0a<%0a9

https://los.rubiya.kr/chall/bugbear_19ebf8c8106a5323825b5dfa1b07ac1f.php?no=1%0a||%0aid%0ain%0a(%22admin%22)%0a%26%26%0alength(pw)%0a%3E%0a7%0a%26%26%0alength(pw)%0a%3C%0a9

패스워드의 길이는 8이다.

이제 blind sqli을 위한 코드에서 우회한 문자로 바꿔주는 수정을 해주면 된다.

pw를 맞추는 코드는

1 || id in ("admin") && ord(mid(pw,1,1)) > 44 && ord(mid(pw,1,1)) < 46#

와 같은 형태가 된다. 위 조건이 True이면 ord(mid(pw,1,1))은 45가 되는 것이다.

근데 이걸로 했는데, 안된다.

왜 안됐는가 보니, ord()에서 or이 필터링 되고 있었다...

다른 함수를 써야하므로, or 때문에 걸러지는 ord()를 버리고 hex()를 새로 영입했다.

이제

1 || id in ("admin") && hex(mid(pw,1,1)) > hex(44) && hex(mid(pw,1,1)) < hex(46)#

이렇게 바꿔주면 된다.

ex.py

공백 우회를 할 때, 16행에 미리 공백대신 %0a를 넣으면, %가 17행에서 %25로 인코딩된다.

그래서 17행 이후, 18행에서 공백인 %20을 %0a로 치환해주었다.

200점 문제

접속하면 level : 1 을 볼 수 있고, 아래에 view-source(소스보기)가 있다.

<?php
  include "../../config.php";
  if($_GET['view-source'] == 1){ view_source(); }
  if(!$_COOKIE['user_lv']){
    SetCookie("user_lv","1",time()+86400*30,"/challenge/web-01/");
    echo("<meta http-equiv=refresh content=0>");
  }
?>
<html>
<head>
<title>Challenge 1</title>
</head>
<body bgcolor=black>
<center>
<br><br><br><br><br>
<font color=white>
---------------------<br>
<?php
  if(!is_numeric($_COOKIE['user_lv'])) $_COOKIE['user_lv']=1;
  if($_COOKIE['user_lv']>=6) $_COOKIE['user_lv']=1;
  if($_COOKIE['user_lv']>5) solve(1);
  echo "<br>level : {$_COOKIE['user_lv']}";
?>
<br>
<a href=./?view-source=1>view-source</a>
</body>
</html>

php 구문을 볼 수 있는데, 중요한 부분은 중간에 있는 php 코드다.

if(!is_numeric($_COOKIE['user_lv'])) $_COOKIE['user_lv']=1;
  if($_COOKIE['user_lv']>=6) $_COOKIE['user_lv']=1;
  if($_COOKIE['user_lv']>5) solve(1);

쿠키 user_lv 의 값이 숫자가 아니면 1로 설정,

6이상이면 1로 설정

5이상이면 solve다.

크롬 확장프로그램 EditThisCookie를 이용해서 user_lv의 값을 5이상 6미만인 값으로 설정하면 된다.

나는 5.5 로 해두었다. 5.5로 설정하고 원래 페이지로 돌아가면 풀린다.

DARKKNIGHT

문제 소스:

 if(($result['pw']) && ($result['pw'] == $_GET['pw'])) solve("darkknight");

pw 검증 -> blind sql injection

if(preg_match('/\'|substr|ascii|=/i', $_GET[no])) exit("HeHe");

substr => mid

= => like  로 우회

pw 글자 수 구하기

' 따옴표 필터링으로 인해 'admin'을 hex값으로 넣어서 string으로 인식하도록 함.

no = 1 or id like 0x61646d696e and length(pw) like 8

pw길이는 8. 이제 pw을 구하면 된다.

이전에는 mid(pw,1,1) like '0' 으로 하면 되었지만

' 따옴표을 필터링 하기 때문에 아스키 값으로 바꿔서 비교를 해야 한다.

ord(mid(pw,1,1)) like 48

풀이 코드 :