Dominic Repo

이번 문제를 분석해보니 or , and , substr( , = 이렇게 필터링이 걸려있고 get방식으로 정확하게 admin의 pw를 맞추는 blind sql injection 문제이다. 먼저 Hello [id] 의 부분에 admin을 넣어서 나오게 하고 싶은데 그게 쉽지가 않다. 바로 = 를 우회하는게 쉽지가 않은데 이리저리 찾아보다가 URL인코딩 방식도 안먹히기에 다른 방법을 검색해보다가 LIKE 를 이용해 보면 쉽게 할 수 있었다. LIKE문은 예를 들어 select id from iamtable where id LIKE 'admin' iamtable이라는 테이블에서 id칼럼에서 'admin'인 id값을 select하는 것이다. 그래서 넣어본 결과 ?pw=1' || id LIKE 'admin'%23 ..

25. What websites was the victim accessing? (피해자는 어떤 웹 사이트에 액세스 했습니까?) 피해자라고 해서 생각해 보니 이전 문제와 연계되어지는 문제인 것 같다. 그렇다면 interception 파일을 계속 봐보도록 하겠다. 전부다 뒤져서 접속한 웹사이트를 찾아보니 다음과 같았다. moblie.msn.com www.passportimages.com login.passport.com login.passport.net 그러면 접속한 웹사이트는 2개이다. moblie.msn.com , www.passportimages.com

24. Viewing the file in a text format reveals much information about who and what was intercepted. What type of wireless computer was the victim (person who had his internet surfing recorded) using? (파일을 텍스트 형식으로 보면 누가 무엇을 가로채는 지에 대한 많은 정보가 나타납니다. 피해자 (인터넷 서핑을 기록한 사람)는 어떤 종류의 무선 컴퓨터를 사용 했습니까?) 23번에서 찾았던 파일을 txt로 바꾸어서 확인해 피해자의 무선 컴퓨터의 종류를 확인해보라는 문제이다. 일단 txt로 바꾸어서 확인해 보았다. 좀 깨지긴 하는데 상관없다 정보를 보는데는..

23. Ethereal, a popular “sniffing” program that can be used to intercept wired and wireless internet packets was also found to be installed. When TCP packets are collected and re-assembled, the default save directory is that users \My Documents directory. What is the name of the file that contains the intercepted data? (유무선 인터넷 패킷을 가로채는 데 사용할 수있는 널리 사용되는 "스니핑"프로그램 인 Ethereal도 설치되어 있습니다. TCP 패킷이 ..

22. This IRC program has the capability to log chat sessions. List 3 IRC channels that the user of this computer accessed. (이 IRC 프로그램에는 채팅 세션을 기록하는 기능이 있습니다. 이 컴퓨터의 사용자가 액세스 한 3 개의 IRC 채널을 나열하십시오.) 방금 전 문제에서 힌트가 다 나온것 같다. 로그에서 확인해 볼 수 있다. mIRC 로그 폴더에서 나온 것들중 로그에 채팅기록이 남았던 것을 기준으로 3개를 뽑아보자면 LuxShell , Chataholics, CyberCate 로 뽑아볼 수 있다.

21. A popular IRC (Internet Relay Chat) program called MIRC was installed. What are the user settings that was shown when the user was online and in a chat channel? ( MIRC라는 유명한 IRC (Internet Relay Chat) 프로그램이 설치되었습니다. 사용자가 온라인 및 채팅 채널에있을 때 표시되는 사용자 설정은 무엇입니까?) MIRC 프로그램에서 사용자가 설정한 것을 찾아라는 문제이다. 그렇다면 MIRC관련된 것을 찾으면 알 수 있지 않을까? 대충 이런식이다. 사용자가 온라인 및 채팅에 있을때라고 했으니 이에 해당하는 부분을 찾아보도록한다. Autopsy를 이용해 ..

먼저 코드를 보자. GET으로 받는 것은 pw값이다 그러고 solve를 하기 위해선 쿼리의 결과 id값이 admin이 나오면 된다. 차근차근 해보자. ?pw=1' or id='admin' and '1'='1' %23 앞에서 풀었던 대로 연산자 우선순위를 생각하며 거짓은 날려주고 admin은 참이 되게 한뒤에 불필요한 뒷부분은 주석처리를 해주니 클리어!

이번 문제는 전 문제와 동일하게 쿼리문의 결과에서 id가 admin일 경우 solve하게 된다. 그런데 이번에는 str_replace()함수가 필터링을해서 빈칸 처리해준다. 이 함수에도 취약한 부분이 있었으니 대소 문자를 구분한다는 점이다. 바로 클리어!

이번 문제는 어떻게 공격하면 좋을까 먼저 코드분석부터 하자면 쿼리문의 결과에서 id가 admin이면 solve가 된다. 그리고 ereg()함수에서 get으로 받아오는 id값을 필터링해준다. 하지만 PHP 5.3+ 부터 쓰이지 않는다고 한다. 그 이유는 무엇일까? 첫 바이트에 NULL을 넣으면 필터링을 우회할 수 있기 때문이다. 시도해 보았다. ?id=%00admin 보아하니 널값이 입력되었는데 검증하는 부분에서 null 을 인식해서 그런것 같다. 그렇다면 ereg의 또다른 특징인 대소 문자를 구분하는 것을 이용해 보고자 한다. ?id=Admin 클리어! 비교적 간단한 troll 문제였다.

이 문제는 pw를 get으로 받는데 정확하게 pw를 맞추라는 문제이고 or, and가 제한이 걸려있는 blind sql injection문제이다. 첫번째 조건문을 보아 쿼리문을 통해 참이면 "Hello [id]"가 출력이 된다. 조건 참일 경우를 이용하여 길이를 하나하나 찾아 주었고 그냥 입력하면 정상적으로 들어가지 않아 # 을 넣어 뒤에를 주석처리를 해주었다.(URL인코딩) and,or는 &&, ||로 대체해서 쓸수있기에 이것을 이용해 랭스를 알아 보았다. (URL인코딩을 통해 우회를 해주었다.) || : %7c%7c && : %26%26 ?pw=1'%7c%7c id='admin' %26%26 length(pw)=8 %23 전 문제와 비슷하게 넣었는데 똑같은 8자리였다. ?pw=1'%7c%7c id='..