Shine Myself

파일 업로드 문제입니다. php 코드를 올려 포토갤러리를 오픈하고 패스워드 파일을 읽으라네요. php 웹쉘을 이용하라는 문제네요.

문제에 접속해보면 위의 화면이 보입니다. 아마 upload 부분에 파일을 업로드하라는 거 같죠?

사진을 업로드하라고 뜨며 gif, jpeg, png 확장자만 허용한다고 쓰여있네요.

실제로 .php 확장자로 php 코드를 업로드 해보니

Wrong file extension 문구가 출력되며 확장자 필터링이 존재하는 것을 알 수 있었습니다.

문제 제목이 double extensions인 만큼 .php.png로 확장자 우회를 시도해보았는데요,(무수히 많은 시행착오가 있었답니다..)

File이 업로드 되었구요, 해당 링크로 접근해보았더니

정상적으로 php code가 실행되고 있는 것을 알아내었습니다.

따라서, [악성 스크립트(웹쉘).php.png] 형식으로 업로드 한다면 쉽게 웹쉘울 실행시킬 수 있습니다.

(참고로 php 웹쉘 중 가장 유명한 r57shell.php를 업로드 해보았는데 용량이 너무 크다라고 뜨더라고요.)

위와 같이 성공적으로 웹쉘이 업로드 되었구요, 이를 통해 디렉토리 구조 파악 및 시스템 자원까지 접근 가능하였습니다.

상위 디렉토리에서 패스워드 파일을 쉽게 찾을 수 있습니다!!

HTTP verb tampering 문제입니다. 보안 설정을 우회하라네요. 일단 접속해봅시다.

아무런 내용없이 로그인 창만 뜨네요. 소스보기도 안되고,, 

그래서 전 일단 verb tampering을 검색해보았어요.

HTTP에서 제공하는 Method 관련 문제더라구요. 메소드들을 이용해서 권한 없이 접속하는 그런..

(사실 저도 정확하게는 파악하지 못하였습니다. 참고하실만한 링크입니다. http://resources.infosecinstitute.com/http-verb-tempering-bypassing-web-authentication-and-authorization/#gref)

우선 저는 해당 페이지에서 사용할 수 있는 메소드들을 알아내기 위해 OPTIONS 메소드로 전송해보았는데요,

이렇게 GET 메소드로 전송되는 것을,

OPTIONS 메소드로 바꾸어 전송했는데요,

정말 의도치 않게 패스워드가 나와버렸네요ㅋㅋㅋ ㄱㅇㄷ

directory indexing 문제입니다.

문제에 접속해보면 아무런 내용없는 백지 상태의 화면을 보게됩니다... 난감하죠

하지만!! 제목에 답이 있듯이 directory를 검색하는 문제입니다!!

ch4 디렉토리에서 한칸 상위 디렉토리로 이동해보았는데요, 이렇듯 디렉토리 리스팅 취약점이 존재하는 것을 알 수 있습니다.

하지만, 다시 ch4 디렉토리를 선택하면 아무것도 없는 화면이 보여지고, 아무리 뒤져도 패스워드(플래그 값)을 찾을 수 없었는데요,,,

여기서 조금의 추측이 필요하였습니다. ch4의 하위폴더는 뭘까라는...

저는 만만한게 admin이라 넣어보았는데!! 완전 운 좋게 한방에 나왔네요

모든 파일을 클릭해본 결과!! backup 디렉토리 하위에 답이 있답니다^^