윱

[문제]

각 챌린지 SSH 접근법: ssh rcity<번호>@ctf.redraccoon.kr -p 31338

https://ctf.redraccoon.kr/challenges#Operation%20RCity4-7

[문제 풀이]

• 서버에 접속해서 flag.txt 파일 내용을 먼저 cat 명령어를 이용해 내용을 확인해보니 문자열이 너무 많았다..
• 문제를 보니 플래그는 'flag is here'문자열 근처에 있다고 하는데 찾아보니 파일 속에 특정 문자열을 찾기 위해서는 grep 명령어를 사용하면 된다고 한다.
• 또, 힌트를 확인해보니 'flag is here'문자열은 대소문자가 섞여있다고 한다..

• 그래서, grep -i 'flag is here' flag.txt 명령어를 입력해 주었다.
  • -i: 대소문자 구분 없이 찾아주는 옵션
  • grep [옵션] [찾을 문자열] [대상파일명]
• 명령어를 통해 문자열을 찾을 수 있었고 바로 뒤에 있는 문자열이 플래그인 거 같아 답을 입력해 주었더니 해결할 수 있었다.

[문제]

각 챌린지 SSH 접근법: ssh rcity<번호>@ctf.redraccoon.kr -p 31338

https://ctf.redraccoon.kr/challenges#Operation%20RCity3-6

[문제 풀이]

• 우선 서버에 접속해서 디렉토리랑 파일 목록들을 확인하는 데 역시나 문제대로 디렉토리가 너무 많다..
• 하나하나 찾기 힘들 거 같아 힌트를 보니 잘 "찾아야"한다고 해서 find 명령어를 사용해야겠다고 생각했다.

• 우선 파일 형식이 "<플래그-파일>.txt" 이기 때문에 명령어를 find ./ -name *. txt로 해서 검색하기로 했다.
  • 이 명령어는 모든 디렉토리 대상으로 확장자가 txt인 모든 파일을 찾아주는 명령어다.
• 그랬더니 flag로 보이는 파일을 찾았고 답을 입력해 주었더니 문제를 해결했다!

[문제]

각 챌린지 SSH 접근법: ssh rcity<번호>@ctf.redraccoon.kr -p 31338

[문제 풀이]

• 먼저 서버에 접속해서 ls 명령어를 이용해서 파일 목록을 확인했는데 파일을 발견할 수 없었다.
• 그래서, 문제에 힌트를 이용해 숨겨진 파일까지 확인하는 명령어인 ls -alh을 사용했다.

• 그랬더니 누가 봐도 수상한 파일인 '...catthisfile.txt' 발견할 수 있었고 그래서 cat 명령어를 이용하여 파일 내용을 확인했더니 플래그를 얻을 수 있었다.

[문제]

각 챌린지 SSH 접근법: ssh rcity<번호>@ctf.redraccoon.kr -p 31338

[문제 풀이]

• 각 플래그는 다음 레벨 SSH 유저의 비밀번호입니다. 예를 들자면 rcity0 에서 플래그 획득 "ssh rcity1@ctf.redraccoon.kr -p 31338" 비밀번호로 사용하기 때문에 이전 단계에서 얻은 플래그 값을 이용하여 서버에 접속을 했다.

• 접속 후 목록을 확인하는 ls 명령어를 확인해서 여러가지 폴더가 있는 걸 확인했다.
• 먼저 flag 디렉토리로 가서 flag.txt 파일이 있는지 확인해 봤는데 아무런 파일이 존재하지 않았다.

• 그래서, 'maybe here' 디렉토리로 넘어가서 목록을 확인할 결과 'fl ag.txt' 파일이 있는 걸 확인했다.
• 그 결과, 다음 레벨의 패스워드를 얻을 수 있었다.

[문제]

각 챌린지 SSH 접근법: ssh rcity<번호>@ctf.redraccoon.kr -p 31338

[문제 풀이]

• 먼저 SSH 명령어를 이용하여 서버에 접속하기 위해 문제에 주어진 패스워드를 입력해주었다.

• 서버에 접속 성공한 후 파일 목록을 확인하는 명령어 ls을 사용했더니 flag 파일 있는 것을 확인했다.
• cat 명령어를 이용하여 flag파일의 내용을 확인해서 문제를 해결했다!

[문제]

https://dreamhack.io/wargame/challenges/768

[문제 풀이]

• 먼저 페이지를 분석해 보니 호스트 입력을 통해 ping 명령어를 수행할 수 있도록 되어있다.

#!/usr/bin/env python3
import subprocess

from flask import Flask, request, render_template, redirect

from flag import FLAG

APP = Flask(__name__)


@APP.route('/')
def index():
    return render_template('index.html')


@APP.route('/ping', methods=['GET', 'POST'])
def ping():
    if request.method == 'POST':
        host = request.form.get('host')
        cmd = f'ping -c 3 {host}'
        try:
            output = subprocess.check_output(['/bin/sh', '-c', cmd], timeout=5)
            return render_template('ping_result.html', data=output.decode('utf-8'))
        except subprocess.TimeoutExpired:
            return render_template('ping_result.html', data='Timeout !')
        except subprocess.CalledProcessError:
            return render_template('ping_result.html', data=f'an error occurred while executing the command. -> {cmd}')

    return render_template('ping.html')


if __name__ == '__main__':
    APP.run(host='0.0.0.0', port=8000)

• 그다음 코드를 분석해보면,  @APP.route('/ping', methods=['GET', 'POST']): 부분에서 /ping 경로에 대한 GET 및 POST 요청을 처리한다.
• ping 함수는 POST 요청에서 host 파라미터를 가져와 ping 명령을 실행한다. subprocess.check_output을 사용하여 명령어 실행 결과를 캡처한 뒤 명령어가 성공적으로 실행되면 결과를 ping_result.html 템플릿에 전달한다.
• ping 명령어는 사용자 입력을 그대로 사용하므로 명령어 주입 공격에 취약하여 이를 이용해 ;, & 등을 사용하여 추가 명령어를 실행할 수 있다.

• 문제 설명에서 플래그는 flag.py에 있다고 했으니 ;를 이용해 추가 명령어를 실행해보자.

• 그 결과, flag를 획득할 수 있었다!

[문제]

https://webhacking.kr/chall.php?order=v

[문제 풀이]

<?php
  include "../../config.php";
  if($_GET['view_source']) view_source();
?><html>
<head>
<title>Challenge 24</title>
</head>
<body>
<p>
<?php
  extract($_SERVER);
  extract($_COOKIE);
  $ip = $REMOTE_ADDR;
  $agent = $HTTP_USER_AGENT;
  if($REMOTE_ADDR){
    $ip = htmlspecialchars($REMOTE_ADDR);
    $ip = str_replace("..",".",$ip);
    $ip = str_replace("12","",$ip);
    $ip = str_replace("7.","",$ip);
    $ip = str_replace("0.","",$ip);
  }
  if($HTTP_USER_AGENT){
    $agent=htmlspecialchars($HTTP_USER_AGENT);
  }
  echo "<table border=1><tr><td>client ip</td><td>{$ip}</td></tr><tr><td>agent</td><td>{$agent}</td></tr></table>";
  if($ip=="127.0.0.1"){
    solve(24);
    exit();
  }
  else{
    echo "<hr><center>Wrong IP!</center>";
  }
?><hr>
<a href=?view_source=1>view-source</a>
</body>
</html>

• 먼저 코드를 분석해 보자!
• extract($_SERVER); 및 extract($_COOKIE);: 부분에서 $_SERVER 및 $_COOKIE 배열의 키를 개별 변수로 추출한다.
• htmlspecialchars() 함수로 $REMOTE_ADDR를 HTML 특수문자를 이스케이프 처리한다. str_replace()를 사용하여 IP 주소에서 특정 문자열을 제거하거나 변경한다.
• 클라이언트 IP가 "127.0.0.1"인 경우 solve(24) 함수를 호출한다.
  • 코드를 보면 client ip가 127.0.0.1이면 문제가 해결된다는 것을 알게 되었다.
  • 그래서, 쿠키에 REMOTE_ADDR 쿠키를 추가해서 IP를 바꾸기로 했다.

• REMOTE_ADDR 쿠키를 추가해서 값에 127.0.0.1을 넣고 새로고침을 했더니 client ip가 1로 필터링되었다.
• 그래서, ip가 필터링되지 않도록 값 112277...00...00...1을 넣기로 했다.

• 그 결과, 문제를 해결할 수 있었다!

[문제]

https://dreamhack.io/wargame/challenges/1401

[문제 풀이]

• 먼저 들어가니 hi guest 글자만 나오는 페이지가 출력됐다.
• 그래서, 소스코드를 분석하기로 했다.

const express = require("express")
const words = require("./ag")

const app = express()
const PORT = 3000
app.use(express.urlencoded({ extended: true }))

function search(words, leg) {
    return words.find(word => word.name === leg.toUpperCase())
}

app.get("/",(req, res)=>{
    return res.send("hi guest")
})

app.post("/shop",(req, res)=>{
    const leg = req.body.leg

    if (leg == 'FLAG'){
        return res.status(403).send("Access Denied")
    }

    const obj = search(words,leg)

    if (obj){
        return res.send(JSON.stringify(obj))
    }
    
    return res.status(404).send("Nothing")
})

app.listen(PORT,()=>{
    console.log(`[+] Started on ${PORT}`)
})

• Search 함수는 words 배열에서 leg 값을 대문자로 변환한 후, 해당 name 속성과 일치하는 객체를 찾아 반환한다.
• 이 코드는 /shop 엔드포인트에서 POST 요청을 받아 특정 조건에 따라 응답을 반환한다.
  • leg라는 요청 본문에서 데이터를 추출하고 leg가 'FLAG'이면, 403 Forbidden 상태 코드와 함께 "Access Denied"를 반환한다.
  • search 함수를 사용하여 leg와 일치하는 개체를 객체를 찾고 객체를 찾으면 JSON 문자열로 변화하여 응답하고 찾지 못하면 404 Not Found 상태 코드와 함께 "Nothing"을 반환한다.
• 서버가 PORT 번호에서 리슨을 시작하며, 성공적으로 시작되면 콘솔에 메시지를 출력한다.

module.exports = [
    {
        "id": 1,
        "name": "FLAG",
        "description": "DH{fake_flag}"
    },
    {
        "id": 2,
        "name": "DRAG",
        "description": "To pull something along forcefully, often on the ground or another surface, causing friction or resistance. It also refers to the delay in performance or response time."
    },
    {
        "id": 3,
        "name": "SLAG",
        "description": "The waste material produced by the smelting process, which involves separating metal from its ore. Slag is typically a mixture of metal oxides and silicon dioxide."
    },
    {
        "id": 4,
        "name": "SWAG",
        "description": "Refers to stylish confidence in one's appearance or demeanor. It can also mean promotional goods or items given away for free as a form of advertising."
    }
]

• 이 코드는 word의 리스트 예시이다.

events {
    worker_connections  1024;
}

http {
    server {
        listen 80;
        listen [::]:80;
        server_name  _;
        
        location = /shop {
            deny all;
        }

        location = /shop/ {
            deny all;
        }

        location / {
            proxy_pass http://app:3000/;
        }

    }

}

• nginx.conf 파일 코드도 분석해 보면 /shop에 대한 모든 요청이 deny 되도록 설정되어 있다.

• postman을 통해 확인해본 결과, deny 되는 걸 확인할 수 있었다.

https://www.hahwul.com/2021/10/08/bypass-403/

• 이 사이트를 참고해 우회하는 방법 중 하나인 Letter Case를 이용해 shop을 SHOP으로 변경해 포스트 요청을 해보았다.
• 그 결과, Flag를 얻을 수 있었다.

[문제]

https://webhacking.kr/challenge/web-32/

[문제 풀이]

• 먼저 코드를 분석해 보자!
  • 먼저 정규표현식을 사용해 입력값에 특정 문자열이나 패턴이 포함되었는지 검사하는 데 차단 대상은 공백, 특수문자, select, from 같은 SQL 키워드, 16진수 표현도 차단한다.
  • 그다음, chall18 테이블에서 id가 'guest'이고 no가 사용자가 입력한 값과 일치하는 행을 조회한다. 이때 admin의 no는 2이다.
  • result['id'] 값이 "admin"일 경우 문제를 해결할 수 있는 것 같다.
• 우선, id가 guest로 고정되어 있기 때문에 이 값을 거짓 값을 넣어 이를 무효화하고, or로 admin의 no를 넣어주어 admin 값으로 접근해야 한다.
• 그래서, sql문이 select id from chall18 where id='guest' and no=-1 or no=2가 되면 된다. 
• 하지만, 위에서 공백은 필터링이 되기 때문에 공백의 url encode 한 값인 %09를 넣어서 sql injection을 시도하면 된다.

• 최종적으로, 이 no=-1%09or%09no=2 값을 url에 입력해 주니 문제를 해결할 수 있었다.

[문제]

https://webhacking.kr/challenge/web-11/

[문제 풀이]

• 먼저 코드를 분석해 보자!
  • 이 코드는 preg_match를 사용하여 "admin"이라는 문자열을 필터링한다,
  • id값을  url decode 하고 그 값이 "admin"이면 문제가 풀리는 거 같다.

https://www.freecodecamp.org/news/url-encoded-characters-reference/

• 그래서, "admin"을 먼저 url encode를 해봤다. 
• 위 사이트를 참고해 "admin"값을 encode 했더니 %61%64%6D%69%6E 나왔다.

• encode 한 값을 url에 입력을 했더니 자동으로 admin으로 decode를 해서 들어가서 문제가 해결이 안 됐다.

https://www.convertstring.com/ko/EncodeDecode/UrlEncode#google_vignette

• 그래서 위 사이트를 통해 encode 한 값을 한번 더 encoding 했다.

• 그 결과, %2561%2564%256D%2569%256E 값을 획득할 수 있었고 이 값을 다시 url에 입력해 주었더니 문제를 해결할 수 있었다.