전 SQL 인젝션 관련 글 Lord of SQL Injection - Darkknight ?no=0 or length(pw) like 8 length(pw)로 패스워드의 길이를 알아냈다. ascii와 substr을 필터링하고 있다. ?no=0 or id like \"admin\" %26%26 ord(mid(pw, {str(i)}, 1)) like {str(j)}-- - id가 admin이면서 pw에서 i번째 문자를 mid(substr)해서 ord(ascii)로 바꾼 뒤 j와 비교한다. substr 대신에 mid, ascii 대신에 ord를 쓰면 된다. Lord of SQL Injection - Bugbear substr, ascii, =, or, and, 공백, 싱글쿼터 모두 필터링하고 있다. subst..

Webhacking.kr - 14 검은 화면에 입력란과 버튼 하나밖에 없다. 개발자 도구를 열어서 (F12) 소스코드를 살펴봤다. 입력란의 이름은 input_pwd로, 특정 문자열을 넣어야 할 것이다. 버튼의 속성으로는 onclick="ck()"가 쓰여있는데, 이는 버튼을 클릭했을 시 웹 페이지에 있는 자바스크립트 소스 코드 내에서의 ck 함수를 실행한다는 것이다. ck() 함수를 태그 밑에 찾아보았다. 아래와 같이 생겼다. ul이라는 변수에 페이지의 url을 저장한 뒤 url에서 .kr의 인덱스 번호를 찾는다. 즉 url이

SSRF 우리가 보내는 요청을 서버에서 특정 IP에서만 접속이 가능하도록 IP 필터링하여 지정된 페이지에 서버에서만 접근할 수 있도록 제한할 수 있다. 이때 IP를 우회하여 요청을 보내는 기법이 Server Side Request Forgery (SSRF) 취약점이다. 우리가 서버에게 요청을 보내게 되는데, 그 요청에서 서버가 다른 내부 서버 내의 파일이나 데이터를 가져오는 등 내부 서버를 이용한다. 즉, 조직 내부적으로 사용하는 서버의 경우 보안상의 이유로 IP 필터링과 같이 외부에서의 접근을 막아놓는 경우가 많다. 일반 사용자는 웹 서버에만 접근이 허용되는 경우가 많다. 정상적인 경우에는 Internal Server에 요청을 못 보내지만, 내부 서버에 접속이 가능한 웹 서버를 이용할 수 있다. 일반 ..

Dreamhack - simple_sqli POST로 userid와 userpassword를 파라미터로 받는다. userid가 admin이면 플래그를 리턴해 준다. 따라서 userid로 admin"--를 주게 되면 admin이 쿼리문이 다음과 같이 구성이 된다: select * from users where userid="admin"--"and userpassword="123" userpassword 부분이 주석 처리되므로 userpassword에 아무 값이나 넣는다. 프록시로 로그인 요청을 잡은 뒤 위와 같이 파라미터를 변조한다. 플래그가 나오는 것을 볼 수 있다. Lord of SQLI - Vampire str_replace 함수의 취약점을 이용한 문제다. admin이라는 스트링이 발견되면 ""로 치..

Dreamhack - XSS-2 페이지를 로딩했을 때 위와 같이 vuln, memo, flag라는 세 페이지가 있다. vuln 페이지에 가보면 파라미터로 태그가 전달되는 것을 볼 수 있으나 alert 창이 뜨지 않아 script가 실행되지 않은 모습을 볼 수 있다. 이때, 태그를 필터링하고 있다고 생각해볼 수 있다. 즉, vuln 페이지에서 XSS를 터뜨리면 된다. 이때 vuln으로 요청을 보내려면 flag 페이지를 이용해서 요청을 보내야 한다. check_xss 함수를 실행할 때 Cookie로 플래그를 넘겨주는 것을 볼 수 있다. check_xss에서는 read_url로 넘겨주고, read_url에서는 아래와 같이 처리한다: 즉, 플래그가 담겼지만 미사용 중인 Cookie 값을 Cookie로 설정한다...

Dreamhack - Cookie login 페이지로 이동했다. 문제 파일에 두 계정이 주어져 있다. admin과 guest라는 계정이 있는 것을 볼 수 있다. guest라는 사용자는 guest를 비밀번호로 사용하고 있고, admin이라는 사용자는 우리가 모르는 웹 서버에만 존재하는 실제 플래그 값을 비밀번호로 한다. 그러나 우리는 이 플래그 값을 얻으려면 admin으로 로그인되어 있어야 한다. guest - guest 계정으로 로그인을 시도해 본다. 버프 스위트 프록시에 Intercept 기능을 켜서 웹 서버로 보내지는 요청을 가로채서 볼 수 있다. 로그인을 시도하면 아래 사진과 같이 두 개의 요청이 보내진다. 첫 번째 요청에는 사용자가 입력한 아이디와 비밀번호를 전달하고 있고, 두 번째 요청은 겉보기..