Shine Myself

Install files 문제입니다. 파일을 설치하라는 문제인가요? 참 난감했습니다. 일단 접속해봅시다.

아무것도 없습니다. 

그렇지만 가장 기본이 되는 소스보기를 클릭해봅시다.

ch6 하위에 phpbb 디렉토리가 있다?? 일단 따라가보죠.

root-me 로고만 나오고 여기도 아무 내용이 없습니다. 한참을 고민하다보니 문제 접속 페이지에서 You Know phpBB? 라는 문구가 눈에 띄네요.

일단 검색하였습니다.

phpbb란 전자 게시판 프로그램이었습니다. php 언어로 작성되었고, MySQL, PostgreSQL 데이터베이스를 사용한다고 하네요.

여기서 고민이 시작되었습니다.

문제가 Install files니까 phpBB 프로그램을 설치하라는 건가?

우선은 phpbb 설치법을 검색하였습니다.

그러던 중 /phpbb 폴더 아래에 있는 install 폴더를 깨끗하게 삭제하라는 말이 보였습니다. 

참고 : [http://www.phpbbkorea.com/viewtopic.php?t=2295]

오 매우 찝찝한 부분이군요!!

타다~~ install 관련 파일이 나왔어요!!

이게 phpbb 취약점이라고 하네요

flag 값은 install.php를 열면 나온답니다^^

File Inclusion 문제입니다. 처음엔 file inclusion이라해서 감이 안왔는데 검색을 좀 해보니 파일 다운로드와 비슷한 유형이더라구요.

해당 취약점을 이용하여 admin section에 접근하면 되는군요.

그럼 시작하겠습니다.

문제에 접속해보면 여러 카테고리 밑에 파일들이 존재해 있었습니다.

URL을 자세히 보시면 files가 카테고리고 f가 파일 이름이겠네요.

저는 우선 files= 파라미터만 남기고 뒷 부분을 지워보았는데요, 카테고리가 쭉 나열되더라구요.

그래서 상위폴더로 이동하는 특수문자 "../"을 넣어봤더니 admin 디렉토리가 나왔네요.

admin 디렉토리 하위에는 index.php 파일이 있구요, 이 소스파일안에서 flag 값을 찾을 수 있었습니다!!!

널 바이트를 이용하여 php code를 업로드하는 문제네요. 

역시 upload를 할 수 있는 카테고리가 존재하구요

이미지만 허용한다고 쓰여져 있네요.

저는 바로 널바이트를 추가해서 php code를 업로드 해보았습니다. 

이전 파일업로드 문제와 다르게 악성 스크립트를 업로드할 필요가 없더라고요.

그냥 위와 같이 임의의 php code만 작성하여 업로드하시고 열면 패스워드 찾을 수 있습니다~

이번에는 HTTP cookies 문제입니다. 밥은 쿠키를 좋아한다네요

문제에 접속해보았더니 이메일을 보내는 입력창?? 이 있네요.

쿠키와 관련된 문제이므로 Cookie를 봐야겠죠!!

(저는 Chrome에서 제공하고 있는 Editthiscookie를 사용하였습니다. 익스플로어는 쿡시 툴을 사용하세요!!)

미리 풀어놨던 문제라 원래의 cookie 값이 뭔지를 모르겠네요..

쿠키값 ch7을 admin으로 바꾼다면 쉽게 패스워드를 획득할 수 있는 문제였습니다.

이번에도 이전 문제와 같은 파일 업로드 문제네요. 하지만 MIME type을 이용하는 문제입니다.

참고로 MIME type이란 메시지 컨텐트 형식을 정의하기 위한 인터넷 표준입니다. 주로 멀티미디어 데이터에 대한 형식을 표현하는데 쓰이죠.

문제에 접속하면 역시 upload 카테고리가 존재합니다.

역시, gif, jpeg, png 확장자만 허용한다고 나와있네요.

MIME type을 조작하는 문제이므로 이 부분만 신경써서 문제를 해결하면 됩니다.

이 문제에선 확장자 필터링은 따로 존재하지 않더라구요.

MIME type으로만 이미지 임을 확인한다는 것이죠. (매우 취약..)

원래는 Content-Type(MIME-type)이 application/octet-stream으로 되어 있지만,

이를 image/jpeg로 바꾸어 전송해보았습니다.

역시 성공적으로 업로드 되었구요

악성 스크립트(웹쉘)도 정상적으로 실행되어 상위 경로에 존재하는 패스워드 파일에 접근할 수 있었습니다.

파일 업로드 문제입니다. php 코드를 올려 포토갤러리를 오픈하고 패스워드 파일을 읽으라네요. php 웹쉘을 이용하라는 문제네요.

문제에 접속해보면 위의 화면이 보입니다. 아마 upload 부분에 파일을 업로드하라는 거 같죠?

사진을 업로드하라고 뜨며 gif, jpeg, png 확장자만 허용한다고 쓰여있네요.

실제로 .php 확장자로 php 코드를 업로드 해보니

Wrong file extension 문구가 출력되며 확장자 필터링이 존재하는 것을 알 수 있었습니다.

문제 제목이 double extensions인 만큼 .php.png로 확장자 우회를 시도해보았는데요,(무수히 많은 시행착오가 있었답니다..)

File이 업로드 되었구요, 해당 링크로 접근해보았더니

정상적으로 php code가 실행되고 있는 것을 알아내었습니다.

따라서, [악성 스크립트(웹쉘).php.png] 형식으로 업로드 한다면 쉽게 웹쉘울 실행시킬 수 있습니다.

(참고로 php 웹쉘 중 가장 유명한 r57shell.php를 업로드 해보았는데 용량이 너무 크다라고 뜨더라고요.)

위와 같이 성공적으로 웹쉘이 업로드 되었구요, 이를 통해 디렉토리 구조 파악 및 시스템 자원까지 접근 가능하였습니다.

상위 디렉토리에서 패스워드 파일을 쉽게 찾을 수 있습니다!!

HTTP verb tampering 문제입니다. 보안 설정을 우회하라네요. 일단 접속해봅시다.

아무런 내용없이 로그인 창만 뜨네요. 소스보기도 안되고,, 

그래서 전 일단 verb tampering을 검색해보았어요.

HTTP에서 제공하는 Method 관련 문제더라구요. 메소드들을 이용해서 권한 없이 접속하는 그런..

(사실 저도 정확하게는 파악하지 못하였습니다. 참고하실만한 링크입니다. http://resources.infosecinstitute.com/http-verb-tempering-bypassing-web-authentication-and-authorization/#gref)

우선 저는 해당 페이지에서 사용할 수 있는 메소드들을 알아내기 위해 OPTIONS 메소드로 전송해보았는데요,

이렇게 GET 메소드로 전송되는 것을,

OPTIONS 메소드로 바꾸어 전송했는데요,

정말 의도치 않게 패스워드가 나와버렸네요ㅋㅋㅋ ㄱㅇㄷ

directory indexing 문제입니다.

문제에 접속해보면 아무런 내용없는 백지 상태의 화면을 보게됩니다... 난감하죠

하지만!! 제목에 답이 있듯이 directory를 검색하는 문제입니다!!

ch4 디렉토리에서 한칸 상위 디렉토리로 이동해보았는데요, 이렇듯 디렉토리 리스팅 취약점이 존재하는 것을 알 수 있습니다.

하지만, 다시 ch4 디렉토리를 선택하면 아무것도 없는 화면이 보여지고, 아무리 뒤져도 패스워드(플래그 값)을 찾을 수 없었는데요,,,

여기서 조금의 추측이 필요하였습니다. ch4의 하위폴더는 뭘까라는...

저는 만만한게 admin이라 넣어보았는데!! 완전 운 좋게 한방에 나왔네요

모든 파일을 클릭해본 결과!! backup 디렉토리 하위에 답이 있답니다^^

User-agent  문제를 풀어보도록 하겠습니다.

문제에 접속해보면, 틀린 user-agent 라고 뜨며 "admin" 브라우저를 사용하라고 나오죠.

user-agent 많이 보시지 않으셨나요? 

프록시 툴로 인터셉트 후 다시 해당 페이지로 접속해보면, 

User-Agent 부분이 보이시나요? user-agent란 사용자를 대신해서 일을 수행하는 소프트웨어 에이전트라고 하네요.

[출처] : https://ko.wikipedia.org/wiki/%EC%82%AC%EC%9A%A9%EC%9E%90_%EC%97%90%EC%9D%B4%EC%A0%84%ED%8A%B8

쉽게 말해 어떤 브라우저를 사용하냐,, 이말인데요, 

문제에서는 "admin" 브라우저를 사용하라고 하였으니 User-Agent 부분을 admin으로 바꿔서 전송해보겠습니다.

문제가 풀렸네요~ 패스워드가 flag 값입니다.

바로 네번째 문제로 넘어가도록 하겠습니다. 그 이유는... 아직 제가 Command injection 문제를 풀지 못하였기 때문이죠.. 

앞으로도 순서대로 풀이가 업로드되진 않을 것 같아요. 이해부탁드립니다. 

이번 문제는 Weak password(약한 패스워드) 문제입니다. 제목만 봐도 감이 오시죠??

문제를 열었더니 사용자이름과 비밀번호를 입력받는 팝업창이 바로 뜨네요.

아마 관리자 권한을 획득해야 할 것 같네요. 아주 쉬운 문제입니다. 

가장 유추하기 쉬운 아이디와 패스워드를 입력해보세요!! 예) root/root1234, test/test 등...

그렇습니다. 해당 비밀번호가 flag 값이에요!! 아주 쉽게 추측할 수 있었습니다.