M4ndU의 만두만두한 블로그

네이버 카페의 글 제목, 작성자 닉네임, 작성일을 파싱하는 코드입니다.

로그인 절차가 필요 없습니다.

게시판 페이지를 파싱합니다.

게시판 링크는 게시판 링크 우클릭해서 링크 복사 해서 /ArticleList.nhn 부분부터 복사하여

카페 링크 뒤에 붙이시면 됩니다.

추가 인자값들은 아래 코드에서 확인하세요. (userDisplay 이나 search.page 등)

simple_html_dom.php 파일을 필요로 합니다:

https://simplehtmldom.sourceforge.io/

국내 웹페이중에 charset이 KSC5601로 설정되어 있는 페이지들이 많다.

이 페이지를 simple_html_dom으로 파싱하려고 하면 아래와 같은 오류가 발생한다.

iconv(): Wrong charset, conversion from `KSC5601' to `UTF-8' is not allowed in simple_html_dom.php

이 경우 KSC5601을 CP949로 바꿔주면 해결된다.

simple_html_dom.php를 아래와 같이 수정해주자.

791~793 삽입

md5_compare

JUST COMPARE ONLY.

with the other value :D

빠르게 소스를 확인하자

간단하다 v1은 전부 알파벳으로 이루어져 있어야 하고, v2는 전부 숫자로 이루어져 있어야 한다.

그리고 v1의 md5해쉬 값과 v2의 md5 해쉬값이 일치해야 한다.

php의 느슨한 비교(==)를 하기 때문에 magic hash를 사용할 수 있다.

v | input | md5

v1 | QNKCDZO | 0e830400451993494058024219903391

v2 | 240610708 | 0e46209743190650901956298873685

DB is really GOOD

What kind of this Database?

you have to find correlation between user name and database.

user name과 db의 상관관계를 찾아내면 될 것 같다.

첫 화면에서 admin으로 로그인 되지 않는다. 페이지 소스를 보면 

function fschk(f){
    if(f.user_id.value=="admin"){
        alert("dont access with 'admin'");
        return false;
    }
}

admin으로 로그인을 막는 js 코드가 존재한다.

그러나 해당 코드를 삭제해도 can not access admin.. 라고 admin으로 로그인이 불가능하다.

다른 닉네임들로 로그인해서 몇 번 만져보면 user name 가 하나의 다른 게시판역할을 하는 것을 알 수 있다.

= 다른 사람이 입력을 안했을 것 같은 user name으로 들어가보면 아무것도 없다.

= guest로 들어가서 메모를 남겨놓으면 나중에 guest로 들어가도 남아있다.

그러면 admin인 게시판을 찾아야 하는데 딱히 단서가 보이지 않았다.

그래서 메인 화면에서 여러가지 user name을 시도해 보았다.

<>?,./을 입력했을 때 오류메세지를 얻을 수 있었고 입력한 값을 경로로 하는 것을 찾을 수 있었다.

입력값을 경로로 하기 때문에 오류나는 문자는 . 나 / 일것이고, 결국 / 가 오류가 나는 원인임을 찾을 수 있었다.

Fatal error: Uncaught exception 'Exception' with message 'Unable to open database: unable to open database file' in /var/www/html/db_is_really_good/sqlite3.php:7 Stack trace: #0 /var/www/html/db_is_really_good/sqlite3.php(7): SQLite3->open('./db/wkrm_/.db') #1 /var/www/html/db_is_really_good/memo.php(14): MyDB->__construct('./db/wkrm_/.db') #2 {main} thrown in /var/www/html/db_is_really_good/sqlite3.php on line 7

./db/wkrm_[입력값].db 을 가져오는 것을 알 수 있다.

[입력값] 에 admin을 넣은 경로로 이동하면 해당 db파일을 다운로드 받을 수 있다.

다운로드 받은 파일을 Hxd로 열면 주소를 하나 더 얻을 수 있다.

해당 주소로 이동하면 flag가 나온다.

strcmp

if you can bypass the strcmp function, you get the flag.

password를 입력받는 칸과 소스를 확인할 수 있는 링크가 있다.

일단 소스코드를 확인해 보자.

$password = sha1(md5(rand().file_get_contents("/var/lib/dummy_file")).rand());

$password는 랜덤 값의 sha1 해쉬값이다. 따라서 때려맞출 수는 없다.

대신 strcmp함수의 취약점을 이용하면 된다.

strcmp(String, Array()) 는 NULL을 반환한다.

php에서 NULL == 0 은 True가 된다.

따라서 password를 배열로 보내면 flag를 얻을 수 있게 된다.

크롬 개발자 도구를 이용해서 password를 password[]로 바꾼 뒤에 아무 값이나 입력해서 보내면, flag를 얻을 수 있다.

fly me to the moon

javascript game.

can you clear with bypass prevent cheating system?

게임을 시작하면, 양 옆 초록색 벽에 부딪히지 않도록 움직여야 한다.

벽에 닿아 죽게 되면 31337점을 얻어야 된다고 나온다.

그럼 이제 js 코드를 확인해 보자

난독화가 되어 있어서 읽을 수 없다.

위 난독화 정도는 아래 사이트를 이용해서 unPack이 가능하다.

https://www.strictly-software.com/unpack-javascript

점수와 관련된 코드를 찾았다.

언팩한 코드를 개발자 도구>콘솔 을 이용해서 재정의 한 뒤, 게임을 한 판 하고 변수의 내용을 확인해 보았다.

BtunnelGame[_0x32bb[2]]() 함수가 점수를 반환하는 함수임을 알 수 있다.

따라서 해당 함수 대신에 "31337"을 넣어서 js코드 재정의 후

게임을 하면, 점수를 전송하는 페이지에 점수가 31337로 들어가게 되고, key를 얻을 수 있게 된다.

https://ctftime.org/event/948

PWN

Simple bof (baby)

Want to learn the hacker's secret? Try to smash this buffer!

You need guidance? Look no further than to Mr. Liveoverflow. He puts out nice videos you should look if you haven't already

By: theKidOfArcrania

nc chal.utc-ctf.club 35235

정말 친절한 bof 문제다..

ex.py

FLAG : utc{buffer_0verflows_4re_c00l!}

Crypto

RSAcue [not solved]

I heard you like to RSAcue the world. There we go

By: knapstack

공개키로 publickey.pem이 주어졌다.

여기서 n값을 구해내보자! (openssl)

https://stackoverflow.com/questions/3116907/rsa-get-exponent-and-modulus-given-a-public-key

깔끔하게 보는 방법도 나와 있다.

MISC

Optics 1 (baby)

I dropped out of my physics class due to boring optical theory. I joined Forensics class thereafter. But, I found Optics there too. Help me clear this class :facepalm:

By: knapstack

png 파일이 하나 주어지는데, 열려고 하면 열리지 않는다.

Hxd로 열어보면 header signuature가 잘못 설정되어 있는 것을 알 수 있다.

0x1~0x3이 LOL로 되어 있는데 이를 PNG로 바꿔주면 파일이 정상적으로 열린다.

QR코드 이미지가 나오는데, 이를 스캔해주면 flag가 나온다.

FLAG: utc{dang_you_know_qr_decoding_and_shit}

Sanity Check

Join our discord and get a free flag.

와 공짜 플래그

FLAG : utc{whats_discord_lol}

REVERSING

Strings (baby)

Itz not giving me flag...

GIMMME THE FLAG

By: theKidOfArcrania

strings 라는 파일이 주어진다.

HxD로 열어보면 ELF 헤더 시그니쳐를 확인 할 수 있다.

Open with HxD, you can find ELF header signature.

So, this file's format is ELF.

그리고 exeinfo PE를 통해 64bit elf 라는 것도 알 수 있다.

64bit elf 파일이기 때문에, ida 64bit로 연다.

문제 제목이 strings이기 때문에, 문자열들을 확인해 주면 된다.

Check out strings!

main함수에는 fake flag가 있다.

you can find fake flag in main FUNC.

real flag는 여기서 찾을 수 있다.

Real flag is in here!

FLAG : utc{that_waz_ezpz}

해외결제는 당연하지만 표시된 금액보다 실제 지불 금액이 더 나온다.

환율에 따라 달라지기도 한다.

유튜브 프리미엄 7,900KRW/월

19년 12월 19일

실제 지불 금액 : 8,690KRW

이 전달에도 8690원이 지불되었기 때문에 금액은 고정인 것 같다.

(구글페이먼트코리아로 결제가 되는 걸 봐선 국내 결제인 듯 하다.)

디스코드 니트로 9.99USD/월

19년 11월 30일

실제 지불 금액 : 12,044KRW

카카오뱅크 체크 카드

상세:

현지 거래금액 USD 9.99

US 환산금액 USD 10.11

적용 환율 1,191.40

해외브랜드수수료 119KRW

해외이용수수료 23KRW

디스코드 니트로 클래식 4.99USD/월

19년 12월 30일

실제 지불 금액 : 5,895KRW

카카오뱅크 체크 카드

상세:

현지 거래금액 USD 4.99

US 환산금액 USD 5.05

적용 환율 1,167.70

해외브랜드수수료 58KRW

해외이용수수료 11KRW

마인크래프트 렐름 9,440KRW/월

19년 11월 19일

실제 지불 금액 : 9,681KRW

카카오뱅크 체크 카드

상세:

현지 거래금액 KRW 9,440 (원화 결제 괜찮은건가... 돈 더 나간건가)

US 환산금액 USD 8.21

적용 환율 1,179.30

해외브랜드수수료 94KRW

해외이용수수료 23KRW

해외결제는 환율 확인해서 결제해야할 것 같다.

https://ctftime.org/event/926

X-MAS Helper

As organizers of X-MAS CTF, we are using bots to ensure that the competition keeps running smoothly. We have made this Discord bot: X-MAS Helper#2918 to help us check the flags for various challenges by using the !flag command. This command is safe to use because the bot actively checks if the requesting user has the Organizer role assigned, so regular participants can't access the flags.

We're so sure that the code is secure, that we're willing to share the part that checks the role:

Code:

if (message.content == "!flag"):

ok = False

for role in message.author.roles:

if (role.name == "Organizer"):

ok = True

if (ok):

printer = "The flag is: **{}**".format (FLAG)

else:

printer = "Unauthorized."

Author: Milkdrop
Note: The music bot (FredBoat) and MicroBot are not part of this challenge. Do not try to exploit them.

디스코드 봇을 활용한 문제다.

!flag 라고 메세지를 보내면 역할 이름을 확인해서 flag를 보내준다.

내 역할 이름이 Organizer 이어야 하는데 해당 봇이 있는 X-MAS CTF 디스코드 채널에서 내 역할은 아무것도 없다.

그래서 해당 채널에서 아무리 !flag를 보내봐야 플래그를 주지 않는다.

flag를 얻는 방법은 간단하다. 내 역할 이름이 Organizer가 되면 된다!

디스코드 봇은 client id만 알면 내 서버로 초대를 할 수가 있다.

직접 서버를 파서 봇을 초대한 뒤에 역할도 만들어서 !flag를 보내면 봇이 flag를 보내준다.

디스코드 봇 초대링크:

https://discordapp.com/oauth2/authorize?clinet_id=****&scope=bot

client id는 쉽게 구할 수 있다.

디스코드 앱에서 > 톱니바퀴 > 디스플레이 > 고급 > 개발자 모드 활성화

해당 봇 우클릭 > ID 복사하기

위 링크에서 ****대신에 id 입력!

EZ

대구정보보안컨퍼런스에서 했던 해킹대회 본선 문제풀이이다.

대회를 한지 벌써 1달이 지나가는데.. 풀이를 블로그에 안 올렸었다는 것을 지금 알았다.

근데 한 문제 밖에 풀이가 없다 ㅇㅅㅇ

게다가 풀이도 간단

팀명: 스틸리언입사예정명단.tar.gz

안드로이드 apk가 주어진 문제였다.

푸는 과정은 이러했다. 정석대로 풀면 된다. (오히려 문제 지문 + 힌트로 인해 혼란스러웠었음.)

apk파일에서 classes.dex 파일 추출

-> dex2jar을 이용해 jar로 바꾸기

-> jd-gui로 열어서 소스 확인하기

-> 암호화된 파일 찾기

-> 복호화 (AES)

apk파일을 압축을 풀어보면 classes.dex라는 파일이 있다.

해당 파일을 dex2jar을 이용해서 jar로 바꿔준다.

바꾼 jar 파일을 jd-gui.exe로 연다.

힌트 전부 무시.

어떤 작업들을 하는지 확인하기 위해서

startService(new Intent(this, RecordManager.class));

에 있는 RecordManager.class 로 이동

filez()함수를 보면 FL46.3gp 가 보이며, 플래그와 연관되어 있는 부분임을 알 수 있다.

ERROR라는 이름을 가진 파일을 열어서, 바이트를 가져와서, 디코딩을 해서, FL46.3gp에 저장한다.

디코딩/복호화에 decodeFile()함수를 사용하였으며, 1번째 인자에 key를 2번째 인자에 바이트 배열이 들어감을 알 수 있고, 암복호화방식은 AES/ECB/PKCS5Padding 를 사용하였음을 확인할 수 있다.

따라서 복호화에 사용될 키는 "ABABACADAEAFADAD" 이다.

복호화에 아래 사이트를 사용했다.

https://www.devglan.com/online-tools/aes-encryption-decryption

복호화할 데이터를 base64형태로 받게 했다.

ERROR파일은 apk파일 내에 asset 폴더 안에 있었다.

ERROR파일 내용을 hex값으로 긁어서 아래 사이트에서 base64로 변환했다.

https://www.branah.com/ascii-converter

hex란에서 Remove 0x를 체크한뒤에 붙여넣고,  ASCII란에서 Remove spaces로 공백제거

그 다음 base64란에서 값 복사후 복호화 사이트에 붙여넣기.

Key란에 ABABACADAEAFADAD 입력.

복호화.

base64문자열이 나오게 된다. 이를 다시 위 사이트에서 ascii로 바꿔주면 flag가 나온다.

Lifeis4longle55oninhumili7y