Shine Myself

이번에는 HTTP cookies 문제입니다. 밥은 쿠키를 좋아한다네요

문제에 접속해보았더니 이메일을 보내는 입력창?? 이 있네요.

쿠키와 관련된 문제이므로 Cookie를 봐야겠죠!!

(저는 Chrome에서 제공하고 있는 Editthiscookie를 사용하였습니다. 익스플로어는 쿡시 툴을 사용하세요!!)

미리 풀어놨던 문제라 원래의 cookie 값이 뭔지를 모르겠네요..

쿠키값 ch7을 admin으로 바꾼다면 쉽게 패스워드를 획득할 수 있는 문제였습니다.

이번에도 이전 문제와 같은 파일 업로드 문제네요. 하지만 MIME type을 이용하는 문제입니다.

참고로 MIME type이란 메시지 컨텐트 형식을 정의하기 위한 인터넷 표준입니다. 주로 멀티미디어 데이터에 대한 형식을 표현하는데 쓰이죠.

문제에 접속하면 역시 upload 카테고리가 존재합니다.

역시, gif, jpeg, png 확장자만 허용한다고 나와있네요.

MIME type을 조작하는 문제이므로 이 부분만 신경써서 문제를 해결하면 됩니다.

이 문제에선 확장자 필터링은 따로 존재하지 않더라구요.

MIME type으로만 이미지 임을 확인한다는 것이죠. (매우 취약..)

원래는 Content-Type(MIME-type)이 application/octet-stream으로 되어 있지만,

이를 image/jpeg로 바꾸어 전송해보았습니다.

역시 성공적으로 업로드 되었구요

악성 스크립트(웹쉘)도 정상적으로 실행되어 상위 경로에 존재하는 패스워드 파일에 접근할 수 있었습니다.

파일 업로드 문제입니다. php 코드를 올려 포토갤러리를 오픈하고 패스워드 파일을 읽으라네요. php 웹쉘을 이용하라는 문제네요.

문제에 접속해보면 위의 화면이 보입니다. 아마 upload 부분에 파일을 업로드하라는 거 같죠?

사진을 업로드하라고 뜨며 gif, jpeg, png 확장자만 허용한다고 쓰여있네요.

실제로 .php 확장자로 php 코드를 업로드 해보니

Wrong file extension 문구가 출력되며 확장자 필터링이 존재하는 것을 알 수 있었습니다.

문제 제목이 double extensions인 만큼 .php.png로 확장자 우회를 시도해보았는데요,(무수히 많은 시행착오가 있었답니다..)

File이 업로드 되었구요, 해당 링크로 접근해보았더니

정상적으로 php code가 실행되고 있는 것을 알아내었습니다.

따라서, [악성 스크립트(웹쉘).php.png] 형식으로 업로드 한다면 쉽게 웹쉘울 실행시킬 수 있습니다.

(참고로 php 웹쉘 중 가장 유명한 r57shell.php를 업로드 해보았는데 용량이 너무 크다라고 뜨더라고요.)

위와 같이 성공적으로 웹쉘이 업로드 되었구요, 이를 통해 디렉토리 구조 파악 및 시스템 자원까지 접근 가능하였습니다.

상위 디렉토리에서 패스워드 파일을 쉽게 찾을 수 있습니다!!

HTTP verb tampering 문제입니다. 보안 설정을 우회하라네요. 일단 접속해봅시다.

아무런 내용없이 로그인 창만 뜨네요. 소스보기도 안되고,, 

그래서 전 일단 verb tampering을 검색해보았어요.

HTTP에서 제공하는 Method 관련 문제더라구요. 메소드들을 이용해서 권한 없이 접속하는 그런..

(사실 저도 정확하게는 파악하지 못하였습니다. 참고하실만한 링크입니다. http://resources.infosecinstitute.com/http-verb-tempering-bypassing-web-authentication-and-authorization/#gref)

우선 저는 해당 페이지에서 사용할 수 있는 메소드들을 알아내기 위해 OPTIONS 메소드로 전송해보았는데요,

이렇게 GET 메소드로 전송되는 것을,

OPTIONS 메소드로 바꾸어 전송했는데요,

정말 의도치 않게 패스워드가 나와버렸네요ㅋㅋㅋ ㄱㅇㄷ

directory indexing 문제입니다.

문제에 접속해보면 아무런 내용없는 백지 상태의 화면을 보게됩니다... 난감하죠

하지만!! 제목에 답이 있듯이 directory를 검색하는 문제입니다!!

ch4 디렉토리에서 한칸 상위 디렉토리로 이동해보았는데요, 이렇듯 디렉토리 리스팅 취약점이 존재하는 것을 알 수 있습니다.

하지만, 다시 ch4 디렉토리를 선택하면 아무것도 없는 화면이 보여지고, 아무리 뒤져도 패스워드(플래그 값)을 찾을 수 없었는데요,,,

여기서 조금의 추측이 필요하였습니다. ch4의 하위폴더는 뭘까라는...

저는 만만한게 admin이라 넣어보았는데!! 완전 운 좋게 한방에 나왔네요

모든 파일을 클릭해본 결과!! backup 디렉토리 하위에 답이 있답니다^^

User-agent  문제를 풀어보도록 하겠습니다.

문제에 접속해보면, 틀린 user-agent 라고 뜨며 "admin" 브라우저를 사용하라고 나오죠.

user-agent 많이 보시지 않으셨나요? 

프록시 툴로 인터셉트 후 다시 해당 페이지로 접속해보면, 

User-Agent 부분이 보이시나요? user-agent란 사용자를 대신해서 일을 수행하는 소프트웨어 에이전트라고 하네요.

[출처] : https://ko.wikipedia.org/wiki/%EC%82%AC%EC%9A%A9%EC%9E%90_%EC%97%90%EC%9D%B4%EC%A0%84%ED%8A%B8

쉽게 말해 어떤 브라우저를 사용하냐,, 이말인데요, 

문제에서는 "admin" 브라우저를 사용하라고 하였으니 User-Agent 부분을 admin으로 바꿔서 전송해보겠습니다.

문제가 풀렸네요~ 패스워드가 flag 값입니다.

바로 네번째 문제로 넘어가도록 하겠습니다. 그 이유는... 아직 제가 Command injection 문제를 풀지 못하였기 때문이죠.. 

앞으로도 순서대로 풀이가 업로드되진 않을 것 같아요. 이해부탁드립니다. 

이번 문제는 Weak password(약한 패스워드) 문제입니다. 제목만 봐도 감이 오시죠??

문제를 열었더니 사용자이름과 비밀번호를 입력받는 팝업창이 바로 뜨네요.

아마 관리자 권한을 획득해야 할 것 같네요. 아주 쉬운 문제입니다. 

가장 유추하기 쉬운 아이디와 패스워드를 입력해보세요!! 예) root/root1234, test/test 등...

그렇습니다. 해당 비밀번호가 flag 값이에요!! 아주 쉽게 추측할 수 있었습니다.

두번째 문제입니다. 

리다이렉트를 시켜라.. 뭐 이런 문제인 것 같네요. [Start the Challenge] 버튼을 클릭하여 문제를 시작해봅시다.

문제에는 Social Networks라는 제목과 각각 Facebook, Twitter, Slack 페이지로 리다이렉트되는 버튼들이 존재합니다.

이를 다른 웹사이트로 리다이렉트 시켜라.. 이런 문제인 것 같습니다.(문제 제목으로 추측해보면..)

우선, 어떤 식으로 값이 전송되어 리다이렉트 되는지 알아보기 위해 Burp Suite(Proxy tool)을 이용하여 인터셉트 해봅시다.

GET Method로 url과 h 파라미터가 전송되고 있네요.

url을 조작하여 다른 페이지로 리다이렉트 시도를 해보겠습니다.(저는 naver로 리다이렉트 시켰지만, 다른 페이지도 가능합니다.)

url 파라미터만 조작하여 값을 전송할 경우 hash 값이 맞지 않다는 메시지가 출력되네요. 이로써 h 파라미터도 같이 맞춰주어야 한다는 것을 알게되었습니다. h의 값을 보니 MD5 해쉬값을 사용한 것 같네요. url부분(https://naver.com)을 MD5로 인코딩 해보겠습니다.

MD5 해쉬 Generator는 구글에 검색하시면 많이 있습니다. url 파라미터를 인코딩하니 해쉬 값이 나왔네요.

해당 url과 해쉬 값으로 파라미터를 조작하여 전송하면!!

위와 같이 Well done 문자와 함께 flag 값이 출력되네요~~

저는 proxy 툴을 사용하였지만, GET 메소드로 전송되는 거라 URL 상에서 조작하셔도 무방합니다. 

다만, 리다이렉트 문제라 flag 값이 쓰여진 페이지가 매우 빠르게 다른 페이지(네이버)로 넘어가는 점 알아두세요!!

 첫 문제여서 그런지 아주 쉬운 문제였습니다. 다행히 빠른 포기는 없는 걸로..ㅎ

 Flag 값 인증 방법을 알려드릴게요^^(다 아시겠지만요)

 우선, 문제를 클릭합니다.

 [Start the Challenge] 버튼을 눌러 문제를 보겠습니다.

음,,, 그냥 Password를 입력받는 칸만 나와 있습니다. 우선은 임의의 값을 넣어서 로그인을 시도해보겠습니다.

패스워드가 맞지 않다는 메시지가 뜨네요. 아무 정보없이 어떻게 풀어야 할까요?

사실 해답은 문제의 제목을 참고하면 되는데요, HTML을 이용하여 풀어야하는 문제이네요. 

워게임의 제일 기본인 '소스 보기'를 클릭합시다. (우클릭->소스보기 or F12 개발자도구)

패스워드를 찾았습니다!!! 주석으로 처리되어 있었네요. 

이전 페이지로 돌아가 패스워드 입력창에 넣어봤더니 이 패스워드를 입력해서 인증하라는 메시지가 출력되었습니다.

인증 Flag를 입력하는 부분은 [Start the Challenge] 버튼 하단 부분에 있는데요, 그 페이지로 돌아가서 얻은 패스워드(flag) 값을 전송하였더니!!

5 포인트를 얻었습니다^^

 지금까지 공부를 소홀히 했던 나를 반성하며,,, 다시 블로그를 시작하려고 합니다!!

 공부 이외에도 지금까지 여행했던 곳들... 차근차근 올려보려고 해요

 www.root-me.org 워게임 사이트를 발견했는데, 초급부터 고급까지 다양한 난이도에 문제 수도 꽤 많아 아주 만족하고 있습니다.

 많이 부족한 실력이지만, 포기하지 않고 풀어보겠습니다.

  링크 : https://www.root-me.org/en/Challenges/Web-Server/ 

 (웹 서버 문제 이외에도 다양한 분야의 챌린지가 있어 실력을 향상하여 도전해보고 싶네요.)