Shine Myself

세번째 날은 투어 상품을 이용했어요..

원래는 죽음의 철도를 가보고 싶어서 깐짜나부리를 가려고 했었는데, 같이 간 친구가 별로 안좋아해서 어쩔 수 없이...

투어 상품은 Klook에서 찾아서 예약을 했습니다! (결론은 비추...)

>> https://www.klook.com/ko/activity/2577-find-romance-in-hua-hin-by-ak-day-tour-bangkok/?krt=r22&krid=feeccf34-0dbe-41da-7030-ded0e5cc353e

아침 일찍 일어나서 택시를 타고 모임장소인 시암파라곤으로 향했습니다. 

8시 20분까진데 방콕 트래픽!! 때문에 간당간당했지만, 다행히 제 시간에 도착했어요.

투어 상품 이름이 로맨스 투어라 일행이 죄다 커플일 줄 알았는데, 저희 두명과 중국인 가족 3명, 그리고 혼자오신 대만분 한분이셨죠.

다 모인 후 첫번째 장소인 라마4세의 별장, 프라나콘 키리 별장으로 향했어요. 약 2시간 소요... 엄청 멀었던

이곳은 푸니쿨라를 타고 올라가야 하는데요, 가격은 투어 상품에 포함되어 있습니다. 

개인적으로 가는 경우에는 성인 200바트로 알고 있습니다.

푸니쿨라를 타고 1-2분 정도 올라가면 사원이 하나 있구요, 마당?같은 곳에서는 목련 비슷한 꽃이 많이 심어져 있는 것을 볼 수 있었습니다.

그리고, 3군데의 스팟(사원)이 있는데, 눈으로는 매우 멀어보여서 걱정했는데 막상 걸으니까 그닥 멀지는 않았습니다.

가는 길에 원숭이를 조심하라고 했는데, 단 한마리도 볼 수가 없었죠.

하지만 대신 탁트인 전경을 맘껏 보고 돌아왔습니다.

그 다음으로 향한 곳은 화이트 비치입니다. 여기서 점심을 먹었습니다.

바다 바로 옆의 식당이라 푸른 바다를 보면서 맛있는 음식을 먹었습니다.

저희는 투어 상품 구매할 때, 점심값 포함된 가격을 선택했는데요 이게 안좋은게 식당이 하나 뿐이라 다른 선택권이 없어요..

만약 점심 미포함 상품을 구매했었다면, 굶거나 여기서 돈을 내고 사먹거나?(더 비싸겠죠?) 

음식은 매우 정갈하고 맛있었지만, 그 부분이 별로였습니다. 같은 일행이였던 중국분이 맥주를 쏘셨었는데 잘 마셨습니다! 고마워요!^^

다음 관광지는 태국에서 가장 아름답다고 소문난 후아힌 기차역입니다.(뜬 소문인듯ㅋㅋㅋ)

왜 그럴까요, 기차역이 거기서 거기라는 생각이 드는 이유는ㅋㅋㅋㅋ

볼 것도 이게 다였던,, 여기서 20분인가 30분인가 있었는데 정말 가이드 투어나 패키지 상품을 별로 안좋아하는 저에게는 고역이였죠ㅋㅋ

그러면서 사진은 잘 찍고 돌아다녔던ㅋㅋㅋㅋ

다음 스팟은 플라완 마켓입니다.

이 곳은 로컬 마켓이라고 알고 갔는데, 로컬 마켓보다는 아기자기한 테마파크 느낌이 물씬났어요.

그치만, 이곳도 10분이면 다 둘러보는게 가능했죠. 상점 갯수도 별로 없었고요..

회전목마와 관람차 등등 약간의 놀이기구와 게스트하우스가 있었던,,, 너무 더워서 아이스크림 사먹으면서 계속 앉아있었어요.

마지막으로, 방콕 도착 전 근교에 있는 창추이 마켓에 들립니다.

여기 이쁜거 완전 인정!! 이 곳도 배틀트립 신주아 편에 나온 곳인데요, 진짜 "힙하다"라는 말이 어울리는 곳이더라고요.

시내에서는 조금 거리가 떨어져 있어서 포기했었는데, 투어 상품에 포함되어 있어서 다행이라고 생각했어요.

이 곳에 한시간 정도 있었는데 솔직히 더 있고 싶었던, 오늘 갔던 곳 중에 가장 맘에 들었던 장소였어요.

곳곳에 갤러리랑 상점들, 그리고 가게랑 바.. 등등 들어가고 싶었지만 시간 상 포기한 곳이 더 많았어요ㅠ

진짜 흘러나오는 재즈를 들으며 여유롭게 칵테일을 마셨던 기억은 정말 최고였어요

후아힌이 태국 왕족의 여름 휴가지라 기대가 엄청 컸는데ㅠ 실망실망했지만,  창추이 마켓은 정말 추천드립니다!!

방콕 시내 들어오니까 9시 반이더라고요, 정말 하루가 길었던! 후아힌은 다음에 액티비티를 즐기러 가볼까 합니당★

Path Truncation 문제를 풀어보겠습니다. 관리자 페이지에 접근하라는 문제인 것 같습니다.

우선, 문제에 들어가면 [Home] 버튼과 [Administration] 버튼이 보입니다.

관리자 페이지에 접근을 해야 되므로 [Administration] 버튼을 눌러보겠습니다.

[Administration] 버튼을 누르면 admin.html URL로 이동되는 것을 알 수 있습니다.

하지만, 403 Forbidden 에러가 뜨는군요. 권한체크를 하는 것 같습니다.

다시 메인 페이지로 돌아가서 이번에는 [Home] 버튼을 눌러보았습니다.

URL 파라미터가 index.php?page=home 형식으로 전송되는 것을 알 수 있습니다. LFI 공격이 가능할 것 같아 보입니다.

그래서, Path Truncation에 대해 찾아보았습니다.

GET vulnerable.php?filename=../../../etc/passwd/././././././././/././././././././././[ and so on ] HTTP/1.1

그래서, page=home/../admin.html/./././././././././.././././.././././.././././.././././.././././.././././.././././.././././.(4096 byte 이상...)를 삽입 시도하였습니다.

하지만 별다른 반응이 없어 보였습니다. 이유를 찾다가 아래 문장을 발견하였습니다.

그래서 home 대신 x(타 임의의 문자 가능)를 삽입 후 ../admin.html에 접근 시도하였더니!!

FLAG 값을 획득할 수 있었습니다.

SQL Injection 문제를 풀어보도록 하겠습니다. 관리자 권한을 획득하면 되는 문제인데요, GBK를 이용하라고 하네요.

그래서 일단 GBK를 찾아보았습니다.

문제로 들어가보면 로그인 창과 위에 멤버 리스트를 보여주는 버튼이 하나 있어서 눌러보았습니다.

멤버 리스트를 보니 "admin"이라는 유저가 존재한다는 것을 명확히 알 수 있었습니다.

SQL Injection 공격을 시도해보았습니다.

많은 시행착오를 겪었는데요, 공격 쿼리나 공격 방법은 상단에 써진 출처를 참고하였습니다.

Query : %bf%27 or 1=1--

          %bf' or 1=1--

          %bf%27 or %bf%271%bf%27=%bf%271

          %bf%27 and 1=1-- 

등... 많은 쿼리로 테스트를 해보았는데, FLAG가 나오지 않았어요.. 구글링해도 문제가 잘못되었다는 둥 Burp로 안된다는 둥...

하지만! 문제를 해결했습니당!!!

login=admin%bf%27 or 1=1-- &password=1 << 주석과 &사이에 공백을 주고, Follow Redirection 버튼을 클릭해야 합니다.

왜 공백을 주어야 하는지는 잘 모르겠습니다만,,, 그래야 follow redirection 버튼이 나오더라고요ㅠ(알려주시면 감사하겠습니다^^)

follow redirection 버튼을 클릭하면 FLAG 값이 노출되는 곳으로 리다이렉트되어 플래그를 획득할 수 있습니다.