M4ndU의 만두만두한 블로그

pyc decompile

bughela.pyc

:D

servertime 이 표시되며, pyc 파일이 주어진다.

pyc는 python에서 import 한 py파일을 컴파일해서 만들어진다.

pyc 디컴파일은 간단하다.

sudo pip install uncompyle6

uncompyle6 bughela.pyc 

19행부터 24행의 과정을 거쳐서 flag값을 만들어낸다.

해당 코드만 뽑아서 flag를 가져오는 코드를 작성하였다.

주의 할 점은 서버의 시간과 로컬의 시간이 맞지 않다.

따라서 로컬의 시간을 서버의 시간으로 맞춰주어야 한다. (10행에서 보정)

web chatting

Simple SQLi Challenge.

How can I set in order to reduce the traffic?

Please try looking at a developer's perspective.

로그인을 해서 페이지소스를 보면, 채팅 내용 갱신을 위해 

http://wargame.kr:8080/web_chatting/chatview.php?t=1&ni=54772

이렇게 chatview.php에 인자갑으로 t=1과 ni값을 보내주고 있다.

이 ni값에 50000 or 1과 같은 값을 입력했더니 모든 채팅내용을 확인할 수 있는 것으로 보아, sqli가 가능함을 알 수 있다.

그러나 앞으로 공격은 스크립트로 해야할 것 같다. 브라우저를 이용할 경우, 내용이 너무 많아 브라우저가 멈춰서 전체 내용을 확인할 수 없기 때문이다.

일단, union을 사용해서 sqli를 시도했다.

ni=54772 union select 1,2,3,4,5 --

그 결과, 마지막행에 아래 내용이 출력되었다.

2 (5..*.) : 3

select 했던 2, 3, 5가 나온 것이다. 

이제 information_schema 테이블이 이용해서 테이블 이름과 칼럼 이름 리스트를 확인할 수 있다.

ni=54772 union select 1,table_name,3,4,5 from information_schema.tables --

INNODB_SYS_FOREIGN (5..*.) : 3
INNODB_SYS_COLUMNS (5..*.) : 3
INNODB_FT_DEFAULT_STOPWORD (5..*.) : 3
INNODB_BUFFER_PAGE (5..*.) : 3
INNODB_CHANGED_PAGES (5..*.) : 3
chat_log (5..*.) : 3
chat_log_secret (5..*.) : 3

readme라고 하는 칼럼명을 확인 할 수 있다. 그러면, chat_log_secret 테이블에 readme라고 하는 칼럼이 있다는 것을 예측할 수 있다.

한번 확인해 보면,

마지막 줄에 플래그값이 출력된다.

EASY_CrackMe

Simple Reverse Engineering Challenge.

Find the Password!! xD
패스워드를 찾아보세요!! xD

CrackMe1st.exe (compiled on Windows7 Visual studio 2008)]

ida로 열어보자

wcsstr() 함수는 문자열을 검색하는 함수이다.

_my_b 와 birth가 존재하는지를 찾아내는 것이다.

_wtoi는 문자열에 있는 숫자를 찾아서 정수로 반환해준다.

따라서 패스워드는 1114_my_birth

http://wargame.kr:8080/prob/18/ps.php?p=1114_my_birth

php? c?

do you know "integer type" of 32bit application?

입력칸이 2개가 있다.

D1

D2

소스를 보자

p7 에 인자값으로 input1을 줘서 실행 값이 1이 아니면서 input2와 값이 같으면 플래그를 얻을 수 있다.

p7.c를 확인해보자

http://wargame.kr:8080/php_c/p7.c

8행 : i가 음수이면 안됨

10행 : i+5 가 4보다 크면 안됨

11행 : i+5가 5보다 작으면 안됨

이 조건을 모두 만족하는 i는 없는 것 처럼 보이지만, intager overflow를 하면 모든 조건문을 통과할 수 있다.

int의 최댓값+1이 되면 0 또는 음수값으로 인식을 하기 때문이다.

https://m.blog.naver.com/wwwkasa/80180210172

d1 : 2147483643

d2 : -2147483648

img recovery

Recovery the PNG image file!

but.. is this really "PNG" file?
(NO STEGANOGRAPHY. THIS IS FORENSIC CHALLENGE)

코드를 찾으라고 한다.

이미지라고는 pattern.png 밖에 없는 듯 하다.

해당 파일을 다운받아서 분석해보았다.

TweakPNG 로 열어보면

PNG파일의 확장포멧인 APNG파일임을 알 수 있다.

https://ko.wikipedia.org/wiki/APNG

도구를 이용해서 이미지를 분리해 내자

https://ezgif.com/split

다운받은 이미지와 웹브라우저에 봤던 이미지와 다른데, 

생긴게 qr코드 처럼 생겼다.

포토샵으로 두 개를 겹치면 qr코드를 얻을 수 있고, 스캔하면 코드를 얻을 수 있다.

type confusion

Simple Compare Challenge.

hint? you can see the title of this challenge.

:D

와 간단 비교 챌린지!

힌트는 이 문제의 제목이라고 한다. type confusion 타입을 혼동

페이지 소스

usleep(500000); == sleep(0.5);

$key값은 sha1( welcome to wargame.kr!_[마이크로초단위의 타임스탬프] ) 이다.

$key값을 맞출 수는 없다.

11행을 보면  == 느슨한 비교를 하고 있다.

true == "string" 는 true다.

php 느슨한 비교 라고 검색을 해보면 ture false 표가 나온다. 참고하자.

우리는 $json->key 값에 true를 보내면 된다.

첫 페이지 소스를 보면, check 버튼을 누르면, submit_check(this); 함수를 호출한다.

해당 함수는 http://wargame.kr:8080/type_confusion/util.js에 정의되어있다.

정의된 함수를 가져와서 key값에 true가 들어가도록 재정의 해주었다. 크롬 개발자도구 콘솔창을 이용하면 된다.

25행 수정

그러면 입력란에 아무거나 입력하고 check를 누르면 flag를 얻을 수 있다.

md5_compare

JUST COMPARE ONLY.

with the other value :D

빠르게 소스를 확인하자

간단하다 v1은 전부 알파벳으로 이루어져 있어야 하고, v2는 전부 숫자로 이루어져 있어야 한다.

그리고 v1의 md5해쉬 값과 v2의 md5 해쉬값이 일치해야 한다.

php의 느슨한 비교(==)를 하기 때문에 magic hash를 사용할 수 있다.

v | input | md5

v1 | QNKCDZO | 0e830400451993494058024219903391

v2 | 240610708 | 0e46209743190650901956298873685

DB is really GOOD

What kind of this Database?

you have to find correlation between user name and database.

user name과 db의 상관관계를 찾아내면 될 것 같다.

첫 화면에서 admin으로 로그인 되지 않는다. 페이지 소스를 보면 

function fschk(f){
    if(f.user_id.value=="admin"){
        alert("dont access with 'admin'");
        return false;
    }
}

admin으로 로그인을 막는 js 코드가 존재한다.

그러나 해당 코드를 삭제해도 can not access admin.. 라고 admin으로 로그인이 불가능하다.

다른 닉네임들로 로그인해서 몇 번 만져보면 user name 가 하나의 다른 게시판역할을 하는 것을 알 수 있다.

= 다른 사람이 입력을 안했을 것 같은 user name으로 들어가보면 아무것도 없다.

= guest로 들어가서 메모를 남겨놓으면 나중에 guest로 들어가도 남아있다.

그러면 admin인 게시판을 찾아야 하는데 딱히 단서가 보이지 않았다.

그래서 메인 화면에서 여러가지 user name을 시도해 보았다.

<>?,./을 입력했을 때 오류메세지를 얻을 수 있었고 입력한 값을 경로로 하는 것을 찾을 수 있었다.

입력값을 경로로 하기 때문에 오류나는 문자는 . 나 / 일것이고, 결국 / 가 오류가 나는 원인임을 찾을 수 있었다.

Fatal error: Uncaught exception 'Exception' with message 'Unable to open database: unable to open database file' in /var/www/html/db_is_really_good/sqlite3.php:7 Stack trace: #0 /var/www/html/db_is_really_good/sqlite3.php(7): SQLite3->open('./db/wkrm_/.db') #1 /var/www/html/db_is_really_good/memo.php(14): MyDB->__construct('./db/wkrm_/.db') #2 {main} thrown in /var/www/html/db_is_really_good/sqlite3.php on line 7

./db/wkrm_[입력값].db 을 가져오는 것을 알 수 있다.

[입력값] 에 admin을 넣은 경로로 이동하면 해당 db파일을 다운로드 받을 수 있다.

다운로드 받은 파일을 Hxd로 열면 주소를 하나 더 얻을 수 있다.

해당 주소로 이동하면 flag가 나온다.

strcmp

if you can bypass the strcmp function, you get the flag.

password를 입력받는 칸과 소스를 확인할 수 있는 링크가 있다.

일단 소스코드를 확인해 보자.

$password = sha1(md5(rand().file_get_contents("/var/lib/dummy_file")).rand());

$password는 랜덤 값의 sha1 해쉬값이다. 따라서 때려맞출 수는 없다.

대신 strcmp함수의 취약점을 이용하면 된다.

strcmp(String, Array()) 는 NULL을 반환한다.

php에서 NULL == 0 은 True가 된다.

따라서 password를 배열로 보내면 flag를 얻을 수 있게 된다.

크롬 개발자 도구를 이용해서 password를 password[]로 바꾼 뒤에 아무 값이나 입력해서 보내면, flag를 얻을 수 있다.

fly me to the moon

javascript game.

can you clear with bypass prevent cheating system?

게임을 시작하면, 양 옆 초록색 벽에 부딪히지 않도록 움직여야 한다.

벽에 닿아 죽게 되면 31337점을 얻어야 된다고 나온다.

그럼 이제 js 코드를 확인해 보자

난독화가 되어 있어서 읽을 수 없다.

위 난독화 정도는 아래 사이트를 이용해서 unPack이 가능하다.

https://www.strictly-software.com/unpack-javascript

점수와 관련된 코드를 찾았다.

언팩한 코드를 개발자 도구>콘솔 을 이용해서 재정의 한 뒤, 게임을 한 판 하고 변수의 내용을 확인해 보았다.

BtunnelGame[_0x32bb[2]]() 함수가 점수를 반환하는 함수임을 알 수 있다.

따라서 해당 함수 대신에 "31337"을 넣어서 js코드 재정의 후

게임을 하면, 점수를 전송하는 페이지에 점수가 31337로 들어가게 되고, key를 얻을 수 있게 된다.