Code1018

17번째 풀이 문제이다!

요즘 시스템공부를 하는 겸 BOF 원정대 문제를 풀어 나갈것이다. :)

BOF 원정대 메인 화면

(메인 화면)

첫 계정은 gate : gate 이다.

들어가보게 되면 파일이 2개 있다.

(바이너리 파일)

mygremlin은 gdb 분석을 위해 내가 cp명령을 이용해 복사한 파일이다.

먼저 C코드를 확인해보자 :)

(C코드)

C코드를 보면 프로그램실행시 인자를 넘겨주어 동작하게 되어있다.
넘겨준 인자를 버퍼에 strcpy를 이용해 복사한다. 
버퍼의 크기는 256바이트. strcpy를 이용하기에 bof 취약점이 존재한다.

gdb로 분석을 해보면.

(AAA인자 전달)

먼저 입력이 어떻게 들어가는지 확인하기 위하여
AAA를 전달하였다.

(저장된 값 확인)

strcpy 함수 명령이 지난후 메모리를 덤프해 확인해보니 AAA가 들어가있는 것을 확인 할 수 있다.

사용할 쉘코드는 
\x31\xd2\x52\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x52\x8d\x54\x24\x04\x52\x31\xc0\xb0\x0b\x8b\x1c\x24\x89\xe1\x31\xd2\xcd\x80
이며 32바이트이다.

총 256바이트(버퍼) + 4바이트(Saved EBP) + 4바이트(RET) 까지 덮어쓰면된다.
즉 우리 쉘코드
쉘코드(32바이트) + 패딩(228바이트) + RET주소(4바이트) 이렇게 맞출 수 있다.

(메모리 주소 확인)

(덮어쓰기)

문제풀이를 위해 캡쳐하는 과정에서 오타가 나서 여러번 다시 찍고는 했다. 위 캡쳐에서 적혀있는 RET 주소는 잘못된 RET 주소이다. 하지만 과정상의 사진으로 보고 이해하면된다. 실제로 RET주소는 위에 우리가 구한 주소를 적어주면 된다.

아래는 주소부분에 C4개를 넣어 과연 주소부분을 잘 덮을지 실제 주소를 넣기 전에 테스트 해보고 있는 사진이다.

(RET주소)

RET주소에 C4개가 들어간 것을 확인 할 수 있다. 
이제 이 자리에 우리가 아까 구한 쉘코드의 위치 주소를 넣어주면 된다.

이제 우리의 gremlin을 실행시켜 인자를 전달해보자.

(인자 전달)

실행시 bof가 발생하여 쉘이 떨어지는 것을 확인 할 수 있다.
SETUID가 설정되어있기 때문에 gremlin의 비밀번호를 확인 할 수 있다.

(문제 해결)

16번째로 푼 문제이다.! 
바로 blind sql injection! 음 정확히 말하면 블라인드?라고는 아무튼 인젝션 문제이다!

ip log table!

(ip log table)

문제 진입 전에 설명에 Ascii를 Date로 사용할 수 있다는 문구가 있다.
나는 오래 헤맨 뒤에야 이 문구의 의미를 깨달을 수있었다.

(힌트)

문제 페이지

(문제 페이지)

문제 페이지는 위와 같다.
아이피 가보이고 클릭해보면 해당 아이피의 접속 시간? 시간정보가 나온다.

소스코드를 열어서 확인해보니 hidden 값으로 몰래 값이 전달되고있었다.

(form)

idx에 값을 넣어 쿼리가 전달될 것이라고 생각해볼 수 있다.

즉 이 form문을 이용해 쿼리를 보낼 것이다.

(사용할 form문)

(사용할 form문 개조)

이 form을 이용하여 내 예상이지만 where idx=$_POST['idx']
요론 식으로 되어있지 않을까 예상이 된다.
idx니까 numeric이 겠지? 라는 기대를 가지고 1 or 1을 날려본다.

(1 or 1 injection)

(실행결과)

실행결과가 나온다.
사실 이 정보만으로 numeric이야 라고 섣불리 판단할 수 있지는 않다.
이유는 1 or 1 이렇게 전달했지만 웹 페이지 내에서 int만 parse 해서 사용하고 있을 수도 있고
그 외에 문자가 들어와서 디폴트로 줄수도 있고 다양한 변수들이 존재하지만

나의 수많은 쿼리들을 이 곳에 다 담을 수 없기에 정리한다 여기는 numeric으로 쿼터 없이 입력이 가능하다!

그 후 1 or 1 union select 77 limit 15,1 을 인젝션하다가 발견한 것이 있다.
여기서 limit 15,1 을 한 이유는 앞의 쿼리에서 14개의 행이 나오고 그 다음 내가 union 한 결과가 15행 부터 나오기에 15행 하나만 꺼내서 보기위해 그랬다.

(특이점 발견)

(특이점)

(테이블 이름)

(테이블 이름 알아가는 중)

내가 알아낸 테이블 이름은 (기본적인거 빼고)
admin_table (누가봐도 수상하다.)
ip_    (여기까지 알아봤다. ip_table일거 같고 본 페이지에서 사용하는 테이블일 것이다.)
그 외의 테이블은 없었다.

문제 페이지에서 관리자로 로그인하는 페이지가 있었는데, 바로 관리자의 계정과 패스워드를 알아내라는 뜻인거 같다.

그렇다면 컬럼 이름을 알아내자!
컬럼이름을 쓰려면 ' ' 쿼터를 사용해야하는데, 확인은 안됬지만 왠지 쿼터정도는 막혀있을 예상이 들어 아싸라하게 char을 이용하여 컬럼이름을 검색해주었다.

(admin_table 다른 표현)

컬럼이름 알아내기 시작!

(컬럼이름 injection)

(찾아가는 중)

그 결과
id, ps
라는 2개의 컬럼만 있다는 사실을 알았다.

사실 이 정보는 관리자 로그인 페이지에서 form문에서 눈치 챌수 있었지만 확실히 하기 위해 찾아보았다.

그 다음은 id의 값을 알아낼 것이다!

(id injection)

(찾는 중)

찾아낸 아이디는 공개하지 않겠다! :)

그 다음은 비밀번호 찾기!

(비밀번호 injection)

(찾는 중)

(관리자로 로그인)

(문제 해결)

로그인 하니 바로 플래그가 나오고 문제를 해결할 수 있었다! :)

15번째로 푼 문제이다.

SQL Injection 문제인데... 내가 가장 자신있기도하지만
풀기는 귀찮아서 풀기 시작하기가 조금 꺼려지는 문제이기도 하다..!

문제이름은 외로운 사나이
lonely guys이다.

(lonely guys)

아래는 문제 페이지다.
문제 이름과 어울리게 외로운 남자들의 이름이 적혀있다.

(문제 페이지)

당연히 소스코드가 주어졌으니 소스코드를 보고 우리가 공략할 수 있는 부분을 확인해보자.

(소스 코드)

소스코드를 보니 select 문을 이용할 수 있는데
ordey by 뒤에 붙일 수 있다.. (몰랐지만 이게 조금 검색을 하게 만들었던 부분이다.)

order by reg_date 뒤에는 일반적으로 asc desc 가 오거나 혹은
order by reg_date, [컬럼명], 컬럼명 ... 등등 이렇게 올수 있다.

나는 콤마로 붙여 여러게를 있는 방법을 사용했다.
if 분기문을 사용해 Blind injection을 할 것이다.

우리가 공략해야할 테이블 이름은 authkey이며 컬럼이름은 authkey이다. (코드에 나와있다.)

먼저 POST방식으로 sort를 전달해야하므로 post form 문을 만들어주자.

(form 문 제작)

기본적으로 내가 사용하려는 if 문으로 blind injection의 공격 가능성을 체크해본다.

if(1=1, sleep(2),2)
만약 공격이 된다면 슬립이 걸려 2초가 멈췄다 동작할 것이다.

(인젝션)

(실행결과)

실행결과 2초가 멈추는 것을 알 수 있었다.

즉 if문을 사용해 공격할 여지를 확인했다.

if(조건,참,거짓) -> 조건문에 내가 확인하고 싶은 쿼리를 사용할 것이고 참에는 sleep을 걸어줄 것이다.
헌데.! sleep은 시간이 좀 걸리니까 에러기반으로 전향했다.
참 부분에 에러를 유발 시킬 수 있는 문구를 넣는것이다. 
내가 자주 사용하는 에러 유발 문구 cot(0)을 사용할 것이다.
cot(0)은 무한대이므로 에러가 난다.

먼저 길이를 알아보자.!
길이를 알기위한 조건문
length((select authkey from authkey limit 0,1))=길이
사용한 쿼리문
,if(length((select authkey from authkey limit 0,1))=i,cot(0),0)
i를 30부터 45까지 돌려주었다. (30이상으로 참이 나왔고 45 이상으로 거짓이 나왔기 때문)

(길이 확인)

(실행결과)

실행 결과 flag길이는 40글자라는 것을 확인 할 수 있었다.

이제 본격적으로 blind injection에 들어간다. 40글자를 찾을 것이다.
사용한 쿼리
,if(ord(substr((select authkey from authkey limit i,1),1,1))=j,cot(0),0)

(authkey 찾기)

(실행결과)

실행결과 authkey를 찾았고 문제를 해결할 수 있었다.

14번째 푼 문제이다.!

문제이름은 strcmp!
strcmp의 취약점을 이용한 문제이다.

(strcmp 문제)

문제 페이지이다.

(문제 페이지)

패스워드를 입력 칸이 하나있고 체크 버튼이 있다.

소스코드를 확인해보겠다.

(소스코드)

소스코드를 보니 POST방식으로 값을 전달한 것이 password와 비교하여 같으면 flag를 보여준다.

이것은 strcmp 함수의 취약점을 이용했다.
구글에 strcmp 까지 입력하니까 취약점이 연관검색어로 나왔다.
으음..

확인해보니 입력해보니 입력 인자로 배열이 들어가면 0을 반환하게 되어있다. 혹은 버젼에 따라 NULL을 리턴하는데 0이든 NULL이든 우리 문제에서는 == 로 비교하기 때문에 참이 되게 된다.

즉 입력으로 배열을 넣어주면된다.
POST방식이므로 버프슈트로 값을 변조해서 보내줄 것이다.

(값 변조)

password[] 배열을 보내주었다.

(문제 해결)

Flag를 얻을 수 있었다. ! :)

13번째로 푼 문제이다. :)
인젝션 문제이다.

문제 이름! SimpleBoard

(SimpleBoard)

문제 페이지이다.

(문제 페이지)

게시판 형식의 페이지이다.

소스코드를 확인 해보자!

(소스코드)

소스코드를 보니 완전한 소스코드가 아니라 클래스 부분만 따로 때어낸 코드를 주었다.

코드 안에서는 우리가 공략할 수 있는 쿼리문을 보여준다.
여기에 사용된 쿼리는 update와 select 쿼리가 사용되었다. update 쿼리는 조회수 정보를 저장할 때 사용되었고 select 쿼리는 게시글을 클릭하였을 때 게시물을 보여주기 위해 사용되었다.

그렇다면 이러한 쿼리들은 어떤 인자를 받아들여 쿼리를 실행할까?
게시글 아무거나 클릭해보았다.

(게시글 클릭)

클릭해보니 GET방식으로 idx를 넘겨주고 있다.

또 소스코드를 보면 idx를 통해 select를 하고 update를 한다.
정확히 GET으로 받은 idx를 사용하는지는 안나왔지만 클래스 코드를 보고 유추하자면 그렇다.

그렇다면 idx 변수에 injection을 담아 보내보자!
4 and 1 을 보내본다.

(4 and 1)

4번 글이 실행되었다.
이와 비교해서
4 and 0
을 Injection해보았다.

(4 and 0)

화면에 아무것도 나오지 않는다.
즉 이말은 4 and 0의 쿼리가 잘 전달되어 게시글을 가져오지 못했다는 것이다.

그렇다면 제일먼저 이 테이블의 컬럼수를 알아보기 위해
order by를 이용할 것이다.

(order by 1)

쿼리 에러

여기서 당황했지만 코드를 다시 잘 살펴보게 되는 계기가 되었다.

(소스코드)

여기서 idx값이 전달되면 쿼리가 2개가 실행되는데
update 쿼리를 잘보면 우리가 보낸 4 and 1 order by 1을 하게 되면 여기서 에러가 난다는 것을 알 수 있다. 즉 update 쿼리가 실행되지 않게 해야하는데 쿠키값으로 view를 관리하는 것을 볼 수 있다.
이 값에 봤다고 설정이 되있다면 update쿼리는 실행되지 않는다.

매번 쿠키를 설정해서 보내기 귀찮으므로 파이썬을 이용해 코드를 작성해보겠다.

(작성한 코드)

이 코드를 보면 4 or 1 order by 1 를 보낸다.

(결과)

결과를 보니 잘 나오는 듯했다.
하지만 잘나온것은 아니다 왜냐! 4번글이 출력되었기 때문에
정상적이라면 1번글이 나왔어야한다.

이유를 헤메다 보니 쿠키에 저장되는 값을 url 인코딩으로 해줘야한다.!
그렇기에 url 인코딩해서 보내주면

(url 인코딩 injection)

(실행결과)

실행 결과를 보면 1번 글이 출력된 것을 확인 할 수 있다.

이제 order by를 이용해 컬럼의 수를 찾아보겠다.

(order by 5 injection)

(쿼리 에러)

1,2,3 이렇게 늘려가다보니 5에서 에러가 났다.
컬럼의 수는 4개라는 것을 알 수 있었다.

이젠 4개의 컬럼이 맞는지 union select 를 이용해 확인해 보겠다.
원래 안에 글의 개수가 4개이므로 출력해줘야하는 글의 위치는 4 (0부터시작하므로)
limit 4,1 을 붙여주었다.

(확인 injection)

(실행결과)

실행결과를 보니 1,2,3,4 가 출력되는 것을 확인 할 수 있었다.

이제 테이블 이름을 알아야했다.
테이블 이름을 알기위해
select table_name,2,3,4 from information_schema.tables 를 이용할 것이다.

(테이블 이름 injection)

(실행결과)

실행 결과를 보니 CHARACTER_SETS이 나왔다.
나는 이게 지금 내가 검색하고 있는 테이블 이름인줄 착각했었다.. 하지만 여러 테이블 이름 중 하나였다.

즉 테이블 이름을 쭉 전부 검색해서 확인할 필요가 있었다.

(테이블 이름 injection)

(실행결과)

실행결과 쭉 보니 의심갈만한 테이블 이름이 있었다.
SimpleBoard 와 README 였다.

SimpleBoard을 살펴보니 우리가 문제 페이지에서 확인할 수 있는 페이지가 전부였다.

남은건 README!

하지만 컬럼 이름은 모르는데.. 컬럼이름을 찾을까 하다가
그래도 flag라는 컬럼이 있지 않겠어? 라는 심정으로 찍어봤는데

(flag injection)

(실행 결과)

flag가 정말 나왔다...
문제해결..!! :)

12번째로 푼 문제이다!

tmitter

(tmitter)

아래는 문제 페이지이다.

(문제 페이지)

문제 페이지 보니 로그인하는 버튼과 회원가입하는 버튼이 있다.

회원가입 페이지에 들어가서 이것저것 해보다가 소스코드를 보니 힌트가 있었다.

(힌트)

개인적으로 나에게 이 힌트가 매우 컸다.
이곳저곳 쑤시지 않고 여기만 공략하면 됬기에!! ㅎㅎ

admin 으로 회원가입을 하라는 말이다.
그렇다면 해보자!

(거부)

admin 계정이 이미 있다고 나온다.
역시..

그렇다면 분명 select 쿼리가 날라가서 db를 검색하여 자료가 있으면 이미 존재한다고 나오는거겠지??
라는 생각이 들었다.

흠 우선 admin' # 을 넣어 오류를 내보자!

(sql injection)

응??
' 앞에 역슬래쉬가 붙었다.
이 워게임 사이트 앞에서 php 코드를 살펴보니 그 injection 방지용으로 어떤 함수를 잘 쓰던데 그거 썻나보다. ' 앞에 이스케이프 된다.

그렇다면 널바이트는 어떻게 될까? 널바이트는 포스트로 전달 못하니
버프슈트를 이용해서 널바이트를 추가해서 보내보자!

(널바이트 삽입)

결과는...

(결과)

널바이트앞에도 이스케이프 문자가 붙는다.

역시..! 그 mysql_real_escape_string()을 쓰는거 같다.
아그러면 or나 이런거도 붙을텐데... 고민이 들었다.

일단 이 함수의 우회법은 안다.
바로 싱글 쿼터 앞에%bf를 넣어주면 %bf가 이스케이프 문자와 합쳐져서 싱글쿼터가 살아남는다.
그 뒤에 && 0 을 추가시켜주어 select 문에 아무것도 안나오게하고
그래서 회원가입이 되게 하는게 나의 전략이다.

(sql injection)

실행결과 회원가입이 되었다.!

정한 비밀번호로 로그인을 해보면

(로그인)

로그인이 되고 flag를 찾을 수 있다.!

(문제 해결)

11번째로 푼 문제이다.

제목은 타입 혼란??
type confusion

(type confusion)

(문제 페이지)

(소스코드 분석)

(비교 참)

(json 인코딩)

(son 값 보내기 폼)

(폼 작성)

(보내기)

(문제 해결)

10번째 푼 문제이다! 

이름은 md5 password 이다.

(md5 password)

아래는 문제 페이지이다.

(문제 페이지)

비밀번호를 입력하는 칸이 하나 나온다.

소스코드를 보면 해시된 값을 넣어 테이블에서 select 검색을 한다.
그런데 조금 이상한 점이 있다.

(소스코드)

바로 md5 해시 함수에서 2번째 인자로 true를 주었다는 것이다.

기본적으로 디폴트 값은 default 이다.
이 값이 true로 넘어가게 되면 출력이 바이너리로 출력되게 된다. 근데 이게 바로 취약할 수 있다는 것이다. 해시 되는 과정에서 ' (싱글쿼터) 등 공격자가 필요한 특수문자를 만들어낼 수 있기 때문이다.

우리가 원하는 값은 '=' 이 값이 있으면 된다. 왜냐?
쿼리문장에서 where password='sdfds'='gfgfg' 
이런식으로 만들어주어 이렇게 되면 참으로 출력이되어 모든 값이 출력되기 때문이다.

예를들어 아래와 같이

(원하는 해시값)

우리가 원하는 해시값이다.

이렇게 나오는 저 값을 입력하게 되면 로그인이 되고 플래그가 나오게 된다.

(문제 해결)

9번째 푼 문제이다.

이 문제는 MD5 해쉬 충돌문제인 줄 알았지만 비교연산자의 취약점을 말하고 있던 문제였다.

md5_compare 문제이다!

(md5_compare 문제)

(문제 페이지)

(소스코드)

(숫자 입력)

(알파벳)

(입력)

(결과)

문제 해결!

8번째 푼 문제이다.

이번 문제 푸느라 눈 빠지는 줄 알았다...
(내가 잘 몰라서 그런거일수있지만..)

8번째 풀이 문제! fly me to the moon

(문제)

아래는 문제 페이지다.

(문제 페이지)

문제 페이지에 들어가면 게임을 하게된다.

그런데 벽이 점점 좁아지면서 깰수 없는... 지경에 이른다. 게다가 점수는 31@@@@ 엄청 많이 이상 받아야 된다고 나온다..

자바스크립트 우회문제구나! 하고 들어가보니.!

(스크립트)

역시! 스크립트는 곱게 줄리 없지!

뷰티하게 정렬해주자.

(스크립트 코드)

이제 좀 사람이 볼만해졌다.

이 코드를 분석하느라 오래걸렸다.. 실은 완벽하게 분석하려다 포기하고
게임에 핵심되는 부분만 골라서 봤다.

내가 원했던 것은 벽에 부딛혀도 안죽게하기!
그런 함수를 뒤지다보니 죽는 함수가 나오는 곳을 발견하였다.

(죽는 함수)

이 조건을보면 벽에 부딛히는 조건을 적어놨다.
나는 요 || (or)연산자를 && (and) 연산자로 바꾸어 죽지 않게 했다.
근데... 난독화되어있는 코드라..
다행이도 || 는 한번쓰인거라서 찾아서 &&로 바꾸어 주기만 하면 됬다.

(|| 사용된곳)

바로 이곳을 && 로 수정해서 다시 스크립트를 입력해주었다.

그랬더니 벽에 아무리 부딛혀도 무적의 전투기가 되었다.

(무적의 전투기)

그런데 또 한가지 문제가 생겼다. 점수가 목표치 31@@@@@ 어쩌구 까지 가는데 오래걸린다...

그래서 점수와 관련된 함수가 이용되는 곳을 공략했다.

(점수가 올라가는 조건)

바로 이 게임에서는 c_s 등 여러 시간에 관련된 시간 변수를 두어 여러가지 동작을 일으켰는데
c_s는 20에 한번씩 0으로 리셋되어 점점 1씩 올라간다. 바로 0으로 리셋될때 점수가 올라가는데
여기서 c_s >20 조건을 c_s>=0 으로 주어 점수가 파파팍 올라가게 했다.

여기서 점수가 하나씩 올라가는 것에 불만을 품고 점수를 한번에 더더 많이 올리기 위해 점수 올리는 함수를 추적하였다.

(점수 상승함수)

(점수 상승함수)

이 곳에 ++로 1씩 증가하게 되어있었는데
이 ++을 여러번 복사 붙여넣기하여 한번에 점수가 1씩이 아닌 팍팍 올라가게 했다.

(점수 팍팍 코드)

이렇게 세팅하고 시작하니 무적의 전투기가 점수가 파파팍 쌓이는 것을 볼 수 있다.

(무적전투기 죽이기)

이렇게 계속 냅둬도 내 전투기는 무적이라 안죽는다.. 그래서 게임이 안끝나는데
내가 죽이는 함수를 이용하여 죽여줘야한다.

31@@@@@ 이상이 될때 전투기를 죽여주면
키가 나온다~!

(문제 해결)