client ip와 agent 정보를 확인할 수 있고

아래에는 wrong IP라고 적혀 있다. 일단 ip값을 맞추면 되는 문제라고 추측해볼 수 있다.

소스를 보자.

$ip가 127.0.0.1이 되면 문제가 풀린다.

extract 함수는 배열의 키값을 변수화 시켜주는 함수이다. 12행에 extract($_COOKIE); 가 있기 때문에

cookie에 REMOTE_ADDR="abcd"를 넣어주면, $REMOTE_ADDR의 값이 "abcd"가 되어 13행에서 $ip에 "abcd"값이 들어가게 된다.

17~20행에서 특정 문자열이 치환되는 것을 고려하여 결과가 127.0.0.1이 되는 입력값은 112277...00...00...1 이다.

따라서 쿠키에 REMOTE_ADDR라는 이름에 값을 112277...00...00...1으로 설정해주면 된다.

문제 페이지로 접속을 하면 소스를 볼 수 있는 링크가 있으며, id와 pw가 적혀 있다.

view-source를 클릭하여 소스코드를 확인하자.

4~33행은 cookie에 user값이 없으면, id와 pw를 각각 guest, 123qwe로 두고 인코딩하여 쿠키값을 설정하는 과정이고, 44~68행은 설정된 user와 password 쿠키값을 디코딩하는 과정이다.

73행에서는 디코딩된 id와 pw값이 각각 admin, nimda라면 문제가 풀리는 것을 알 수 있다.

인코딩 과정을 보면, 먼저 평문을 base64로 20번 인코딩하고 str_replace함수로 문자를 치환한다.

이 과정을 그대로 python으로 작성하여 id와 pw를 admin과 nimda로 두면 인코딩된 쿠키값을 얻을 수 있다.

실행 결과:

쿠키 값 설정은 크롬 확장프로그램 중에서 editthiscookie를 사용했다.

설정 후 페이지를 새로고침하면 문제가 풀린다.

php? c?

do you know "integer type" of 32bit application?

입력칸이 2개가 있다.

D1

D2

소스를 보자

p7 에 인자값으로 input1을 줘서 실행 값이 1이 아니면서 input2와 값이 같으면 플래그를 얻을 수 있다.

p7.c를 확인해보자

http://wargame.kr:8080/php_c/p7.c

8행 : i가 음수이면 안됨

10행 : i+5 가 4보다 크면 안됨

11행 : i+5가 5보다 작으면 안됨

이 조건을 모두 만족하는 i는 없는 것 처럼 보이지만, intager overflow를 하면 모든 조건문을 통과할 수 있다.

int의 최댓값+1이 되면 0 또는 음수값으로 인식을 하기 때문이다.

https://m.blog.naver.com/wwwkasa/80180210172

d1 : 2147483643

d2 : -2147483648

네이버 카페의 글 제목, 작성자 닉네임, 작성일을 파싱하는 코드입니다.

로그인 절차가 필요 없습니다.

게시판 페이지를 파싱합니다.

게시판 링크는 게시판 링크 우클릭해서 링크 복사 해서 /ArticleList.nhn 부분부터 복사하여

카페 링크 뒤에 붙이시면 됩니다.

추가 인자값들은 아래 코드에서 확인하세요. (userDisplay 이나 search.page 등)

simple_html_dom.php 파일을 필요로 합니다:

https://simplehtmldom.sourceforge.io/

strcmp

if you can bypass the strcmp function, you get the flag.

password를 입력받는 칸과 소스를 확인할 수 있는 링크가 있다.

일단 소스코드를 확인해 보자.

$password = sha1(md5(rand().file_get_contents("/var/lib/dummy_file")).rand());

$password는 랜덤 값의 sha1 해쉬값이다. 따라서 때려맞출 수는 없다.

대신 strcmp함수의 취약점을 이용하면 된다.

strcmp(String, Array()) 는 NULL을 반환한다.

php에서 NULL == 0 은 True가 된다.

따라서 password를 배열로 보내면 flag를 얻을 수 있게 된다.

크롬 개발자 도구를 이용해서 password를 password[]로 바꾼 뒤에 아무 값이나 입력해서 보내면, flag를 얻을 수 있다.

문제소스 :

  $_GET['id'] = strrev(addslashes($_GET['id']));
  $_GET['pw'] = strrev(addslashes($_GET['pw']));

id와 pw를 addslashes로 아래 문자에 \을 붙여준다. https://www.w3schools.com/php/func_string_addslashes.asp

• single quote (')
• double quote (")
• backslash (\)
• NULL (%00)

그리고 strrev으로 문자열을 뒤집는다.

이전 문제처럼 쿼리에서 id = ' 부터 pw =' 까지를 문자열 취급하게 만들면 될 것 같다.

https://mandu-mandu.tistory.com/315

id='' and pw=''

두번째 싱글쿼트 앞에 \가 붙게 하여 문자열 취급하도록 해야 한다.

id에 \와 '을 제외한 나머지 " 또는 NULL (%00)을 넣어보자

" -> \" -> "\

id='"\' and pw = ''

\가 뒤로 오면서 '가 문자열 취급되고, " 은 ' 안에 있기 때문에 문자열 취급된다.

이제 pw=' or 1#' 로 만들어주면 된다. strrev함수로 인해 뒤집어서 입력해주면 된다.

Hand of plus

100

[문제 설명] 귀여운 아오바가 Beatcoin을 채굴하려고 한다. 아오바의 그래픽 카드를 도와주자.
[출제자] 정준영(Joon)

extract($_COOKIE); 을 사용하고 있다.

구글 확장프로그램을 이용해서 각각 4개의 이름과 값으로 쿠키를 추가해주면 된다.

The great escape

100

[문제 설명] 요원들은 배급받은 키를 쳐야 지령을 받을 수 있다고 한다. 요원들이 받는 지령을 몰래 받아보자.
[출제자] 정준영(Joon)

1부터 1000까지 브포를 해봤다. 틀렸다. 흠....

이것저것 해봤는데 디렉토리 인덱싱이 가능했다.

패스워드 찾아서 입력해주면 플래그가 나온다.

핵발사 시스템

300

[문제 설명] 귀여운 아오바가 어딘가로 핵을 쏘고싶어한다. 도와주자.
[출제자] 정준영(Joon)

매직해시문제 https://www.whitehatsec.com/blog/magic-hashes/

md5(Key1) == crc32(Key2) == md4(key3)

Key1 = 240610708

Key2 = 2332

Key3 = 48291204

리캡챠를 적용할 페이지는 login.php (.html이어도 적용 가능합니다.), 검증을 하는 페이지는 login_chk.php (php로 작성하였습니다.)로 가정을 하겠습니다.

1. 리캡챠 키를 생성

아래 링크에 접속합니다.

https://www.google.com/recaptcha/admin

Label 에는 그냥 이름 하나 적어줍니다. ex) login page

reCAPTCHA v3를 선택하고,

Domains에 사이트 도메인을 적어주고,

정책 동의에 체크한 후 register을 누릅니다.

Site key 와 Secret key는 기록해 둡니다.

2. 코드 삽입 (login.php)

login.php에서 <head></head> 태그 사이에 아래 코드를 삽입합니다.

<Site Key> 에 자신의 Site key를 입력합니다.

login page 에서 로그인 <form> 태그안에 아래 코드를 삽입합니다.

3. 코드 삽입 (login_chk.php)

php 코드 안에 아래 코드를 삽입합니다.

<Secret key> 안에 자신의 Secret key를 입력하면 됩니다.

조건 if($responseKeys["success"]) 이 외에도 https://developers.google.com/recaptcha/docs/v3 문서의 Site Verify Response 부분을 참조하여 통과여부를 설정할 수 있습니다. 저는 간단히 success 부분만 받아 검증한 것입니다.

web

array로 날려주면 된다. input이 아닌 input[]으로 날리면 된다. 

아래 box들은 다 fake용도인것 같다.

http://chaneyoon.dothome.co.kr/array_string.php?input[]=you&input[]=want&input[]=flag?

FLAG{Th4nk_Y0U_H4CK!NG_C4MP!!}

웹

https://mandu-mandu.tistory.com/204?category=723296 랑 같은문제다.

extract($_GET); 을 이용해서 $number와 $random_number 모두 내가 원하는 값으로 바꿔줄 수 있다.

http://chaneyoon.dothome.co.kr/randominteger.php?number=1&random_number=1

FLAG{th4nk_y0u_H4Ck!NGCAMP15th!}