윱 :: 윱

전체 글

[웹해킹] | [드림핵]-Broken Buffalo Wings 2025.01.01
[Webhacking.kr] old-16 write-up 2024.12.29
[Webhacking.kr] old-6 write-up 2024.12.29
[Webhacking.kr] old-15 write-up 2024.12.29
[Webhacking.kr] old-17 write-up 2024.12.22
[Webhacking.kr] old-14 write-up 2024.12.22
[Webhacking.kr] old-01 write-up 2024.12.22
[TryHackMe] Windows Forensics 1 2024.12.03 1
[웹해킹] | [LOS] Gremlin write up 2024.12.01
[웹해킹] | [LOS] Goblin write up 2024.12.01

[웹해킹] | [드림핵]-Broken Buffalo Wings

vinn👩‍💻 2025. 1. 1. 23:23

2025. 1. 1. 23:23

728x90

[문제]

https://dreamhack.io/wargame/challenges/938

Broken Buffalo Wings

Description Buffalo wings, also known as hot wings or chicken wings... Notice You can solve this problem with the intended solution, but there's also an easier way to do it! Take a look at the diff between the patched version and the original challenge. FY

dreamhack.io

[문제 풀이]

먼저 문제 설명 부분에 Notice 부분을 보면 original과 패치된 버전의 차이점을 이용하라는 방법을 알려주고 있다.
그래서, 리눅스의 diff 명령어를 활용해서 broken buffalo wings와 buffalo wings의 파일을 비교해 봤습니다.

그 결과, 차이점으로 flag.txt를 발견할 수 있었습니다.

flag.txt를 입력창에 입력하니 바로 flag를 얻을 수 있었습니다.

'보안 > CTF' 카테고리의 다른 글

[Webhacking.kr] old-18 write-up (0)	2025.01.05
[Webhacking.kr] old-26 write-up (0)	2025.01.05
[Webhacking.kr] old-16 write-up (0)	2024.12.29
[Webhacking.kr] old-15 write-up (0)	2024.12.29
[Webhacking.kr] old-17 write-up (0)	2024.12.22

[Webhacking.kr] old-16 write-up

vinn👩‍💻 2024. 12. 29. 01:36

2024. 12. 29. 01:36

728x90

[문제]

https://webhacking.kr/challenge/js-3/

Challenge 16

webhacking.kr

[문제 풀이]

<script> 
document.body.innerHTML+="<font color=yellow id=aa style=position:relative;left:0;top:0>*</font>";
function mv(cd){
  kk(star.style.left-50,star.style.top-50);
  if(cd==100) star.style.left=parseInt(star.style.left+0,10)+50+"px";
  if(cd==97) star.style.left=parseInt(star.style.left+0,10)-50+"px";
  if(cd==119) star.style.top=parseInt(star.style.top+0,10)-50+"px";
  if(cd==115) star.style.top=parseInt(star.style.top+0,10)+50+"px";
  if(cd==124) location.href=String.fromCharCode(cd)+".php"; // do it!
}
function kk(x,y){
  rndc=Math.floor(Math.random()*9000000);
  document.body.innerHTML+="<font color=#"+rndc+" id=aa style=position:relative;left:"+x+";top:"+y+" onmouseover=this.innerHTML=''>*</font>";
}
</script>

먼저 코드를 분석해 보면 mv함수는 키 입력에 따라 움직임을 처리하는 함수입니다.

cd는 ASCII코드로 전달되는 입력 값입니다.
- d(100): 오른쪽으로 50px 이동
- a(97): 왼쪽으로 50px 이동
- w(119): 위로 50px 이동
- s(115): 아래로 50px 이동
ASCII 코드로 124는 |(파이프)이다.
- | 키를 누르면 새 페이지로 이동한다.

|(파이프) 키를 눌렀더니 문제를 해결할 수 있었습니다.

'보안 > CTF' 카테고리의 다른 글

[Webhacking.kr] old-26 write-up (0)	2025.01.05
[웹해킹] \| [드림핵]-Broken Buffalo Wings (0)	2025.01.01
[Webhacking.kr] old-15 write-up (0)	2024.12.29
[Webhacking.kr] old-17 write-up (0)	2024.12.22
[Webhacking.kr] old-01 write-up (0)	2024.12.22

[Webhacking.kr] old-6 write-up

vinn👩‍💻 2024. 12. 29. 01:18

2024. 12. 29. 01:18

728x90

[문제]

https://webhacking.kr/challenge/web-06/

webhacking.kr

[문제 풀이]

<?php
include "../../config.php";
if($_GET['view_source']) view_source();
if(!$_COOKIE['user']){
  $val_id="guest";
  $val_pw="123qwe";
  for($i=0;$i<20;$i++){
    $val_id=base64_encode($val_id);
    $val_pw=base64_encode($val_pw);
  }
  $val_id=str_replace("1","!",$val_id);
  $val_id=str_replace("2","@",$val_id);
  $val_id=str_replace("3","$",$val_id);
  $val_id=str_replace("4","^",$val_id);
  $val_id=str_replace("5","&",$val_id);
  $val_id=str_replace("6","*",$val_id);
  $val_id=str_replace("7","(",$val_id);
  $val_id=str_replace("8",")",$val_id);

  $val_pw=str_replace("1","!",$val_pw);
  $val_pw=str_replace("2","@",$val_pw);
  $val_pw=str_replace("3","$",$val_pw);
  $val_pw=str_replace("4","^",$val_pw);
  $val_pw=str_replace("5","&",$val_pw);
  $val_pw=str_replace("6","*",$val_pw);
  $val_pw=str_replace("7","(",$val_pw);
  $val_pw=str_replace("8",")",$val_pw);

  Setcookie("user",$val_id,time()+86400,"/challenge/web-06/");
  Setcookie("password",$val_pw,time()+86400,"/challenge/web-06/");
  echo("<meta http-equiv=refresh content=0>");
  exit;
}
?>

먼저 코드를 분석해 보면 크게 2가지로 나뉘어 있는데 첫 번째 부분은 쿠키를 설정하는 부분이다.
쿠키 user와 password가 설정되지 않은 경우 기본적으로 guest와 123qwe를 설정한다.
base64_encode()를 20회 반복하여 값을 인코딩하고 str_replace()를 통해 일부 문자를 특수 문자로 변경하여 변조한다.

<?php
$decode_id=$_COOKIE['user'];
$decode_pw=$_COOKIE['password'];

$decode_id=str_replace("!","1",$decode_id);
$decode_id=str_replace("@","2",$decode_id);
$decode_id=str_replace("$","3",$decode_id);
$decode_id=str_replace("^","4",$decode_id);
$decode_id=str_replace("&","5",$decode_id);
$decode_id=str_replace("*","6",$decode_id);
$decode_id=str_replace("(","7",$decode_id);
$decode_id=str_replace(")","8",$decode_id);

$decode_pw=str_replace("!","1",$decode_pw);
$decode_pw=str_replace("@","2",$decode_pw);
$decode_pw=str_replace("$","3",$decode_pw);
$decode_pw=str_replace("^","4",$decode_pw);
$decode_pw=str_replace("&","5",$decode_pw);
$decode_pw=str_replace("*","6",$decode_pw);
$decode_pw=str_replace("(","7",$decode_pw);
$decode_pw=str_replace(")","8",$decode_pw);

for($i=0;$i<20;$i++){
  $decode_id=base64_decode($decode_id);
  $decode_pw=base64_decode($decode_pw);
}

두 번째 부분은 쿠키 디코딩 부분으로 쿠키 user와 password 값을 읽어오고 이전에 인코딩 시 변환했던 특수 문자를 원래 문자로 되돌린다.
그다음. base64_decode()를 20회 반복하여 원래 값을 복구한다.

echo("<hr><a href=./?view_source=1 style=color:yellow;>view-source</a><br><br>");
echo("ID : $decode_id<br>PW : $decode_pw<hr>");

if($decode_id=="admin" && $decode_pw=="nimda"){
  solve(6);
}

마지막으로 디코딩된 ID와 PW를 출력하여 화면에 표시하고 디코딩된 값이 ID가 admin, PW가 nimda일 경우 문제를 해결할 수 있다.
우선 코드를 분석한 결과 admin과 nimda를 20번 인코딩한 후 숫자를 특수문자로 치환해서 각각의 값을 쿠키로 설정하면 된다는 것을 알게 되었습니다.

import base64

def encode_and_replace(value, iterations=20):
    # Base64 Encoding 20번 반복
    for _ in range(iterations):
        value = base64.b64encode(value.encode()).decode()

    # 특정 문자 치환
    replacements = {
        "1": "!",
        "2": "@",
        "3": "$",
        "4": "^",
        "5": "&",
        "6": "*",
        "7": "(",
        "8": ")"
    }
    for original, replacement in replacements.items():
        value = value.replace(original, replacement)
    
    return value

# 초기 값
id_value = "admin"
pw_value = "nimda"

# 인코딩 및 치환 수행
encoded_id = encode_and_replace(id_value)
encoded_pw = encode_and_replace(pw_value)

# 결과 출력
print("Encoded and Replaced ID:", encoded_id)
print("Encoded and Replaced Password:", encoded_pw)

먼저, 입력 문자열을 20번 Base64로 인코딩하고, 문자 치환까지 수행하는 파이썬 코드를 짠 다음 나온 결과를 각각 쿠키 값이 입력해 주었습니다.

값을 설정해 주고 새로고침을 하니 ID랑 PW가 제 의도대로 바뀌었고 문제를 해결할 수 있었습니다.

[Webhacking.kr] old-15 write-up

vinn👩‍💻 2024. 12. 29. 00:55

2024. 12. 29. 00:55

728x90

[문제]

문제를 클릭하면 Access_Denied 메시지와 함께 alert 경고창이 나온다.

https://webhacking.kr/chall.php

Webhacking.kr

webhacking.kr

[문제 풀이]

문제를 클릭하면 자바스크립트를 통해 alert() 경고창를 띄우는 코드가 작동되고 있음을 확인할 수 있었습니다.
우선 크롬 설정에 들어가 자바스크립트 사용을 허용하지 않음으로 설정해 주었습니다.
- 설정 -> 개인 정보 보호 및 보안 -> 자바스크립트

그다음, 문제 페이지에 들어갈 수 있게 됐지만 아무것도 안 떠서 F12를 눌러 코드를 확인했습니다.

코드를 분석해 보니 url 뒤에 ?getFlag를 입력해 주면 Flag를 알아낼 수 있다는 사실을 알아냈습니다.

그 결과, 문제를 해결할 수 있었습니다.
이외에도 다른 사이트를 참고해 보니 Burpsuite를 통해 문제를 해결할 수 있다고 합니다.

'보안 > CTF' 카테고리의 다른 글

[웹해킹] \| [드림핵]-Broken Buffalo Wings (0)	2025.01.01
[Webhacking.kr] old-16 write-up (0)	2024.12.29
[Webhacking.kr] old-17 write-up (0)	2024.12.22
[Webhacking.kr] old-01 write-up (0)	2024.12.22
[웹해킹] \| [LOS] Gremlin write up (0)	2024.12.01

[Webhacking.kr] old-17 write-up

vinn👩‍💻 2024. 12. 22. 15:41

2024. 12. 22. 15:41

728x90

[문제]

https://webhacking.kr/challenge/js-4/

Challenge 17

webhacking.kr

[문제 풀이]

먼저 코드를 분석해 보니 unlock의 값과 입력값이 같으면 문제를 해결할 수 있다는 것을 알았다.
그러면 먼저 unlock의 값을 알아내야 하는데 딱 봐도 너무 복잡하고 계산이 길기 때문에 unlock값을 계산하기 위해 개발자 도구의 콘솔을 이용했습니다.

콘솔을 이용해서 쉽게 값 7809297.1을 알아낼 수 있었고 이를 입력값으로 넣어 맞는지 확인해 봤습니다.
그 결과, 문제를 해결했습니다!

'보안 > CTF' 카테고리의 다른 글

[Webhacking.kr] old-16 write-up (0)	2024.12.29
[Webhacking.kr] old-15 write-up (0)	2024.12.29
[Webhacking.kr] old-01 write-up (0)	2024.12.22
[웹해킹] \| [LOS] Gremlin write up (0)	2024.12.01
[웹해킹] \| [LOS] Goblin write up (0)	2024.12.01

[Webhacking.kr] old-14 write-up

vinn👩‍💻 2024. 12. 22. 15:33

2024. 12. 22. 15:33

728x90

[문제]

https://webhacking.kr/challenge/js-1/

Challenge 14

webhacking.kr

[문제 풀이]

function ck(){
  var ul=document.URL;
  ul=ul.indexOf(".kr");
  ul=ul*30;
  if(ul==pw.input_pwd.value) { location.href="?"+ul*pw.input_pwd.value; }
  else { alert("Wrong"); }
  return false;
}

먼저 개발자 도구를 열어 소스코드를 분석하려고 했습니다.
코드를 분석해 보면 현재 페이지의 url에서 .kr이 나타나는 위치를 ul에 저장하고
이 위치 값에 30을 곱합니다.
그 다음, 사용자가 입력한 비밀번호가 계산된 값과 동일한지 확인합니다.
- 동일하다면 페이지를 특정 값으로 리다이렉트 합니다.
- 동일하지 않다면 경고창을 띄웁니다.

→ 코드를 분석한 결과 먼저 url에서 .kr의 위치를 알아내고 그 값에 30을 곱해서 그 값을 입력하면 된다는 것을 알게 되었습니다.

url에서 .kr은 0부터 시작해서 18번째 위치해 있고 ul=18이고 그 값에 30을 곱하면 540이므로 540을 입력해 보았습니다.
그 결과, 문제를 해결할 수 있었습니다.

[Webhacking.kr] old-01 write-up

vinn👩‍💻 2024. 12. 22. 15:16

2024. 12. 22. 15:16

728x90

[문제]

https://webhacking.kr/chall.php

Webhacking.kr

webhacking.kr

[문제 풀이]

<?php
  include "../../config.php";
  if($_GET['view-source'] == 1){ view_source(); }
  if(!$_COOKIE['user_lv']){
    SetCookie("user_lv","1",time()+86400*30,"/challenge/web-01/");
    echo("<meta http-equiv=refresh content=0>");
  }
?>
<html>
<head>
<title>Challenge 1</title>
</head>
<body bgcolor=black>
<center>
<br><br><br><br><br>
<font color=white>
---------------------<br>
<?php
  if(!is_numeric($_COOKIE['user_lv'])) $_COOKIE['user_lv']=1;
  if($_COOKIE['user_lv']>=4) $_COOKIE['user_lv']=1;
  if($_COOKIE['user_lv']>3) solve(1);
  echo "<br>level : {$_COOKIE['user_lv']}";
?>
<br>
<a href=./?view-source=1>view-source</a>
</body>
</html>

먼저 코드를 분석해 보자

<?php
  if(!is_numeric($_COOKIE['user_lv'])) $_COOKIE['user_lv']=1;
  if($_COOKIE['user_lv']>=4) $_COOKIE['user_lv']=1;
  if($_COOKIE['user_lv']>3) solve(1);
  echo "<br>level : {$_COOKIE['user_lv']}";
?>

user_lv 쿠키 값이 숫자가 아니면, 1로 초기화된다.
user_lv 값이 4 이상이면 1로 초기화된다.
user_lv 값이 3보다 크면 solve(1) 함수가 실행된다.
solve(1) 함수는 문제를 해결하거나 상태를 변경하는 함수일 가능성이 클 것이다.

→ user_lv 값은 3보다 크고 4보다 작은 숫자가 들어가야 한다고 생각했습니다.

그래서, 쿠키 값을 3과 4 사이에 값을 입력했습니다.
그 결과, 문제를 해결할 수 있었습니다!

'보안 > CTF' 카테고리의 다른 글

[Webhacking.kr] old-15 write-up (0)	2024.12.29
[Webhacking.kr] old-17 write-up (0)	2024.12.22
[웹해킹] \| [LOS] Gremlin write up (0)	2024.12.01
[웹해킹] \| [LOS] Goblin write up (0)	2024.12.01
[웹해킹] \| [LOS] Cobolt write up (0)	2024.12.01

[TryHackMe] Windows Forensics 1

vinn👩‍💻 2024. 12. 3. 11:55

2024. 12. 3. 11:55

728x90

[문제]

https://tryhackme.com/r/room/windowsforensics1

Windows Forensics 1

Introduction to Windows Registry Forensics

tryhackme.com

[문제 풀이]

Task 1) Introduction to Computer Forensics for Windows

What is the most used Desktop Operationg System right now?

답) Microsoft Windows

Task 2) Windows Registry and Forensics

What is the short form for HKEY_LOCAL_MACHINE?

답) HKLM

Task3) Accessing registry hives offline

What is the path for the five main registry hives, DEFAULT, SAM, SECURITY, SOFTWARE, and SYSTEM?

답) C:\Windows\System32\Config

What is the path for the AmCache hive?

답) C:\Windows\AppCompat\Programs\Amcache.hve

Task 6) System Information and System Accounts

What is the Current Build Number of the machine whose data is being investigated?

답: 19044

Which ControlSet contains the last known good configuration?

답: 1

What is the Computer Name of the computer?

답: THM-4N6

What is the value of the TimeZoneKeyName?

답: Pakistan Standard Time

What is the DHCP IP address

답: 192.168.100.58

What is the RID of the Guest User account?

답: 501

Task 7) Usage or knowledge of files/folders

When was EZtools opened?

답: 2021-15-01 13:00:34

At what time was My Computer last interacted with?

답: 2021-12-01 13:06:47

What is the Absolute Path of the file opened using notepad.exe?

답: C:\Program Files\Amazon\Ec2ConfigService\Settings

When was this file opened?

답: 2021-11-30 10:56:19

Task 8) Evidence of Execution

How many times was the File Explorer launched?

답: 26

What is another name for ShimCache?

답: AppCompatCache

Which of the artifacts also saves SHA1 hashes of the executed programs?

답: AmCache

Which of the artifacts saves the full path of the executed programs?

답: BAM/DAM

Task 9) External Devices/USB device forensics

What is the serial number of the device from the manufacturer 'Kingston'?

답: 1C6f654E59A3B0C179D366AE&0

What is the name of this device?

답: Kingston Data Traveler 2.0 USB Device

What is the friendly name of the device from the manufacturer 'Kingston'?

답: USB

Task 10) Hands-on Challenge

먼저 RegistryExplorer을 run as administrator로 해서 실행한다.
그다음 C:\Windows\System32\Config 디렉터리에서 SAM, SOFTWARE, SYSTEM을 로드해야 한다.
SOFTWARE랑 SYSTEM을 로드를 하라고 하면 "Dirty hive detected" 팝업이 뜨면 "no"를 선택하고 "replay transaction logs against this hive" 팝업이 뜨면 "yes"를 선택한다.

그다음 1~3번 문제를 풀기 위해 SAM에서 Users 경로를 확인했습니다.

How many user create accounts are present on the system?

답: 3

What is the username of the account that has never been logged in?

답: thm-user2

What's the password hint for the user THM-4n6?

답: count

* 아래 문제들은 다음에 이어서...

When was the file 'Changelog.txt' accessed?

What is the complete path from where the python 3.8.2 installer was run?

When was the USB device with the friendly name 'USB' last connected?

참고

[웹해킹] | [LOS] Gremlin write up

vinn👩‍💻 2024. 12. 1. 23:50

2024. 12. 1. 23:50

728x90

[문제]

https://los.rubiya.kr/

Lord of SQLInjection

los.rubiya.kr

[문제풀이]

먼저 챗gpt를 이용해 코드를 분석한 결과 조회한 query의 결과에 id가 있다면 성공을 출력하는 것을 알았고 $_GET['id']와 $_GET['pw']를 그대로 쿼리에 넣고 있으므로, 이를 이용하여 공격을 시도할 수 있다는 사실을 알았습니다.

그래서 query문을 php?id=admin&pw=admin 변경하면 되지 않을까 생각하고 변경한 결과 문제가 해결되지 않아 다른 방법을 찾아봤습니다.

SQL 삽입 공격 중 가장 일반적인 ‘ or ‘1’=’1 방법을 시도하여 항상 참인 조건을 만들어 모든 레코드를 가져오게 하려고 ?id=' OR '1'='1&pw=' OR '1'='1로 query문을 변경했고 그 결과 문제를 해결했습니다.

[TIP]

Get방식은 주소창에 값을 입력, 출력하기 때문에 주소창의 변수값을 수정한다면 들어가거나 나오는 값에 영향을 미친다.
url에 변수값을 수정할 때에는 php뒤에 ?(변수명)/변수 입력 다른 변수를 또 입력하고자 할 때 php?(변수명)&(변수명)
쿼리 전체를 참으로 만들어주는 방법: ‘1’ or ‘1’=1

[참고]

https://in-reason.tistory.com/26

'보안 > CTF' 카테고리의 다른 글

[Webhacking.kr] old-17 write-up (0)	2024.12.22
[Webhacking.kr] old-01 write-up (0)	2024.12.22
[웹해킹] \| [LOS] Goblin write up (0)	2024.12.01
[웹해킹] \| [LOS] Cobolt write up (0)	2024.12.01
[Tryhackme] OhSINT (0)	2024.11.24

[웹해킹] | [LOS] Goblin write up

vinn👩‍💻 2024. 12. 1. 23:34

2024. 12. 1. 23:34

728x90

[문제]

https://los.rubiya.kr/chall/goblin_e5afb87a6716708e3af46a849517afdc.php

los.rubiya.kr

[문제 풀이]

  $query = "select id from prob_goblin where id='guest' and no={$_GET[no]}";

우선 전 문제들과 다르게 id가 고정되어 있고 이번에는 no 부분을 입력해야 하는 거 같습니다.
no는 그리고 숫자 형태로 쿼터(', ")가 필터링되어 있어 문자열을 입력할 수 없습니다.

if($result['id']) echo "<h2>Hello {$result[id]}</h2>"; 
if($result['id'] == 'admin') solve("goblin");

위 쿼리를 통해 조회가 성공할 경우 조회된 id와 함께 Hello 문구를 출력합니다.
그리고 id가 admin일 경우에 문제를 해결할 수 있습니다.

먼저 no 값에 1이랑 다른 숫자들을 넣었는데 1이 게스트 계정임을 알 수 있었습니다.
혹시나 admin에 해당하는 숫자를 찾을 수 있을까하고 여러 숫자들을 시도해 보았지만 아무것도 안 떴습니다.

우선 먼저 id를 admin으로 바꿔야 한다는 생각에 no를 false가 되도록 한 뒤 id를 admin으로 하는 구문을 입력했습니다.
no=2 or id='admin'
그랬더니 No Quotes라는 문구를 떴는데 특수문자가 막혀있다는 것을 다시 깨달았습니다..

그래서 이번에는 id='admin' 값을 아스키코드로 변환해서 숫자형식으로 입력했습니다.
no=2 or id=char(97, 100, 109, 105, 110)
그랬더니 문제를 해결했습니다!

참고

아스키 코드 변환 사이트

위 사이트를 통해 문자열을 쉽게 아스키코드로 변환 가능합니다.

'보안 > CTF' 카테고리의 다른 글

[Webhacking.kr] old-01 write-up (0)	2024.12.22
[웹해킹] \| [LOS] Gremlin write up (0)	2024.12.01
[웹해킹] \| [LOS] Cobolt write up (0)	2024.12.01
[Tryhackme] OhSINT (0)	2024.11.24
[포렌식] \| [BTLO] Meta (0)	2024.11.24

PREV 이전 1 2 3 4 5 6 ···23 NEXT 다음

전체 글

[문제]

[문제 풀이]

'보안 > CTF' 카테고리의 다른 글

[문제]

[문제 풀이]

'보안 > CTF' 카테고리의 다른 글

[문제]

[문제 풀이]

[문제]

[문제 풀이]

'보안 > CTF' 카테고리의 다른 글

[문제]

[문제 풀이]

'보안 > CTF' 카테고리의 다른 글

[문제]

[문제 풀이]

[문제]

[문제 풀이]

'보안 > CTF' 카테고리의 다른 글

[문제]

[문제 풀이]

Task 1) Introduction to Computer Forensics for Windows

Task 2) Windows Registry and Forensics

Task3) Accessing registry hives offline

Task 6) System Information and System Accounts

Task 7) Usage or knowledge of files/folders

Task 8) Evidence of Execution

Task 9) External Devices/USB device forensics

Task 10) Hands-on Challenge

[문제]

[문제풀이]

[TIP]

'보안 > CTF' 카테고리의 다른 글

[문제]

[문제 풀이]

'보안 > CTF' 카테고리의 다른 글

티스토리툴바