보안맨

SSTI 와 관련된 웹해킹 문제 SSTI란 Server Side Template Injection의 약자로 템플릿 엔진으로 웹 어플리케이션을 구동하는 경우, 공격자가 템플릿 구문을 악용하여 삽입할 수 있는 취약점이다. 이렇게 템플릿 구문이 삽입되게 되면, 원격 명령어 실행도 가능하게 되는 위험한 취약점이다. 소스코드는 주어지지 않고 문제 페이지 주소만 주어진다. 문제 페이지는 관리자에게 뭔가 리포트 하는 기능을 가지고 있다. 이름을 입력한 곳이 마지막에 Dear [이름], we have received your message 라고 나오는게 보였다. 이곳이 SSTI 백터라고 생각했다. 이 부분이 벡터가 맞는지 확인하는 방법은 아주 쉽다. 여기있는 페이로드를 한번씩 테스트 해보면 된다. 가장먼저 {{7*7}..

LFI 와 관련된 웹해킹 문제 쉽게 생각했는데 생각보다 오래걸렸다. 문제는 소스코드와 함께 접속할 수 있는 환경이 주어진다. 문제페이지에 들어가면 이런 허름한 사이트가 나온다. 아래쪽에 Powered by CMSimple 라고 적혀있는게 보이는데 검색해보니 CMSimple 가 php 로 만들어진 콘텐츠 관리 시스템이라고 한다. 대놓고 적어놓은걸 보니 저기에 취약점이 있을거라고 생각했다. https://www.exploit-db.com/exploits/5700 CMSimple 3.1 - Local File Inclusion / Arbitrary File Upload CMSimple 3.1 - Local File Inclusion / Arbitrary File Upload EDB-ID: 5700 CVE: 2..

PHP Magic Hash 취약점을 이용한 웹해킹 문제 난이도는 그렇게 어렵지 않다. 별다른 소스파일은 주어지지 않고 문제 페이지 주소만 주어진다. 문제페이지는 비밀번호를 입력하면 되는 페이지이다. 소스도 없고 힌트도 없어서 뭐 어떻게 해야하나 싶었는데 URL에 robots.txt 를 입력해봤더니 힌트를 찾을 수 있었다. GET 메소드로 password 파라미터에 값을 전달받는데, 내가 입력한 password 값과 password 값을 md5 해시한 값이 같으면 플래그가 출력된다. 근데 상식적으로 해시값이랑 원래값이 같을 수가 없다. 하지만 PHP Magic Hash 취약점을 이용하면 가능하다. 구글에 검색하면 해당 값을 바로 찾을 수 있다. : 를 구분자로 앞쪽이 입력값, 뒤쪽이 md5 해시값인데 위처..

쉬운 난이도의 문제였지만 상당히 귀찮게 했던 웹해킹 문제 문제페이지에 들어가면 이런 문구가 나온다. agent 가 n00bz-4dm1n secure browser 가 아니라고 하는데 이건 웹 요청 패킷을 보낼때 헤더에 있는 User-Agent 의 값을 보고 판별한다. 요청 패킷을 수정해서 보내야 한다. https://chrome.google.com/webstore/search/modheader?hl=ko 요청 패킷의 해더를 변조할 때는 ModHeader 라는 확장 프로그램을 쓰면 편하다. Chrome 확장 프로그램 설치페이지로 가서 modheader 라고 검색하면 설치할 수 있다. ModHeader를 실행시켜서 이렇게 User-Agent 를 n00bz-4dm1n 으로 변경시켜 활성화해주면 웹페이지가 이렇..

조금 어려웠던 웹해킹 문제 일반적인 해킹 기법에 대한 문제가 아니라서 적당한 페이로드를 찾는데 시간이 걸렸다. 문제에서는 server.py 파일과 문제 페이지 주소가 주어진다. 문제 페이지에 접속하면 이렇게 Username 을 입력할 수 있는 칸이 나온다. from flask import Flask, request, render_template, render_template_string, redirect import subprocess import urllib flag = open('flag.txt').read() app = Flask(__name__) @app.route('/') def main(): return redirect('/login') @app.route('/login',methods=['G..

초심자들을 위한 CTF 의 첫번째 웹해킹 문제 사실 이번문제는 좀 쉬워서 해킹이라 하기 좀 뭐하다. 문제페이지에 접속하면 나오는 화면이다. 가장 radical 한 해커만 입장할 수 있는 club n00b 이라고 한다. 나는 radical 하지 않기 때문에 입장이 거부되었다는 메세지가 뜬다. 아래쪽에 Check Status 버튼을 눌러봤는데 멤버 리스트에 없다는 메세지가 나온다. URL 을 보니 secret_phrase 파라미터에 nope 가 들어가 있는것이 보인다. nope 를 아까 강조되어있던 단어인 radical 로 변경해줬다. 그리고 다시 새로고침을 하면 웹페이지와 URL에 플래그가 적혀 나오는 것을 볼 수 있다.

파일업로드 취약점과 관련된 웹 해킹 문제 소스파일은 따로 없이 문제 페이지 주소만 주어진다. 문제페이지에 접속하면 이렇게 로그인 페이지가 나온다. 문제 설명이나 주석 등등에 로그인 계정과 관련한 내용이 없었기에 가장 간단한 SQL Injection 페이로드인 admin' or 1=1-- - 으로 로그인을 시도해봤다. SQL Injection 이 먹혀서 바로 다음 화면인 Admin Dashboard 로 넘어갔다. 파일을 업로드 할 수 있는 기능이 있는데, JPEG 파일만 업로드 가능하도록 안내하고 있다. 파일 업로드 취약점을 이용하기 위해 위와 같이 간단한 php 웹쉘을 작성했다. 파일이름은 shell.php 로 저장했다. 해당 파일을 업로드 시도해보니 .php 확장자는 이미지가 아니라면서 업로드가 거부된..

SQL Injection 과 관련된 웹해킹 문제 인젝션 자체는 쉬웠는데 공격 벡터를 찾아내는데 시간이 좀 걸렸다. 소스는 따로 없고 문제페이지 주소만 주어진다. 문제 페이지에 접속하면 이렇게 간단한 미용실 홍보 페이지가 나온다. 오른쪽 위에 보면 Login 버튼이 있는데 들어가면 이렇게 로그인 창이 나온다. 처음에 여기다가 SQL Injecion 을 해서 로그인을 우회하는건줄 알았는데 아무리 해봐도 잘 안돼서 다른 곳을 찾아보게 되었다. F12 개발자도구를 이용해 HTML을 살펴보다가 찾았는데 img src 를 보면 barber2.jpg 부터 barber7.jpg 까지 있는것을 볼 수 있다. barber1.jpg 가 없는게 이상해서 URL에 직접 주소를 쳐 접근해보니 Backup User 의 ID 와 P..

지난 문제에 이어서 계속하는 웹해킹 문제 (https://hackingstudypad.tistory.com/535) 같은 사이트에서 계속해서 문제를 풀면 된다. 지난 문제에서 /robots.txt 를 통해 s3cretDirectory1, 2, 3 디렉토리가 있는것을 확인했다. /s3cretDirectory1 로 접근해보니 Hello There User! 이라는 문구가 출력된다. /s3cretDirectory2 에서는 Hello Again User! 가 출력된다. /s3cretDirectory3 으로 가면 이런 화면이 나오는데 엄청나게 많은 경로들이 보인다. 각 경로들은 접속해보면 Hello There User! 가 출력되는데, 크기 순으로 보니 하나만 크기가 93인 페이지가 있었다. 그래서 접속해봤는데 ..

이번 CTF 에서 가장 쉬웠던 문제 이전에도 비슷한 유형을 다뤘었다. (https://hackingstudypad.tistory.com/78) 별다른 소스코드 없이 문제페이지 주소만 제공이 된다. 문제페이지에 들어가면 달랑 이 사진하나만 나온다. 구글 로고와 로봇 사진이 있는데 로봇 사진이 나왔다면 무조건 robots.txt 관련된 문제이다. 블로그를 운영한다면 익숙한 단어일 것이다. 이 문제는 robots.txt 를 이용해 푸는 문제이다. 네이버 서치어드바이저에 있는 바로 그 robots.txt이다. robots.txt는 로봇 배제 표준이라고 해서 웹 사이트에 로봇이 접근하는 것을 방지하기 위한 일종의 규약이다. 검색엔진들이 내 웹페이지를 마구마구 접근하는 것을 제한하기 위해서 사용한다. 웬만한 웹사이..