Shine Myself

여행 둘째날 입니다.!! 블라디보스톡의 주요 관광지는 두번째날에 다녔다고 보시면 된답니다^^

작은 도시기 때문에 독수리전망대 빼고는 다 도보로 다녔어요!! 

저는 이날 환전과 유심칩을 사려고 열시에 나와서 설쳤는데, 사실 근교로 가실 분 아니시면 느즈막히 나와 돌아다니셔도 지장 없어요ㅋㅋ

두번째 날 일정을 정리해봤어요!! 더 자세한 내용과 사진은 아래로!!

1. 아침 겸 점심 - 우흐 띠 블린

열시? 정도에 숙소에 나와 아르바트 거리에 있는 우흐 띠 블린에서 소고기 블린을 먹었어요.

블린은 러시아식 팬케이크인데, 보기만 해도 든든하지 않나요?? 생각보다 양 진짜 많았어요ㅎㅎ

한국어 메뉴판 당연히 있어서 주문하는거 어렵지 않습니다!! 아 또 먹고 싶네요ㅜ

2. 1st - 정교회사원

첫번째 목적지인 정교회 사원입니다~~ 날이 너무 좋아서 그랬는지 지붕이 엄청 이뻤어요^^

안에도 들어갈 수 있지만 여자들은 머리에 두건 종류를 써야한답니다(그 옆에 준비되어 있더라구요)

아르바트 거리에서 정교회사원까진 오르막 길이라 좀 힘들었지만, 그만큼 멋졌던 건물이기 때문에 후회하지 않았어요ㅋㅋ

3. 2nd - 해양공원

정교회 사원에서 슬슬 걸어 내려오면 해양공원 안에 있는 놀이공원이 보여요. 

이날은 놀이기구가 운행하지 않아서 안타깝게도 못탔네요(주말에 오픈하는 듯해요 그 다음날 탔거든요!! 힛)

바다 도시 아니랄까봐 바다 내음 흠뻑 맡을 수 있구요~ 주말에는 여러 행사를 하니 시간 잘 맞춰서 가면 전통의상을 입은 러시아 사람들을 볼 수 있답니다.

이 곳에 맛있는 곰새우를 판다고 하던데 저는 안타깝게 못먹어 봤구요ㅠㅠ다시 가야하는 이유가 이렇게 늘어가네요.

4. 3rd - 혁명광장

숙소 앞이 혁명광장이라 블라디에 있으면서 가장 많이 본 곳이기도 하네요ㅎ 

금요일, 토요일엔 시장이 열려서 한국에선 볼 수 없는 것들을 팔기도 해요(저도 고체 꿀을 구매했답니다)

고려인 분들이 김치를 팔기도 하고,,, 장이 크지도 않고 아담하니 한번쯤 구경해보세요~

5. 4th - 개선문+영원의 불꽃

혁명광장에서 조금만 아래로 내려가면 바로 러시아 개선문이 보여요!! 프랑스의 개선문과 비교해보면 좀 아기자기한 느낌이 들지 않나요??

뭔가 장난감 나라의 성 같기도 하고??ㅋㅋㅋ 이 개선문을 지나면 소원이 이루어진다는 썰이 있으니 꼭 지나쳐보세요~

또, 바로 옆에는 영원의 불꽃이 불타고 있습니다. 2차 대전 희생자를 기리는 거라 해서 엄숙하게 기도하고 왔네요.

6. 5th - 블라디보스톡 기차역

블라디보스톡 하면 기차역이 가장 먼저 떠오르지 않나요?? 저는 그랬습니다ㅋㅋㅋ

시베리아 횡단열차의 출발점인 곳이죠!! 오른쪽 사진의 기둥에는 9288이라는 숫자가 새겨져 있는데, 이것이 횡단열차의 종점인 모스크바까지의 km라고 합니다.ㄷㄷ

이곳은 꼭 기차를 타는 경우가 아니어도 내려갈 수 있는 계단이 주변에 있으니 참고하세요.

다음번에 기회가 있다면 꼭 시베리아 횡단열차를 타러 돌아오겠어요!!

7. 6th - 독수리 전망대

개인적으로 정말 멋진 곳이라 생각했습니다ㅜㅜ 특히 야경이 너무나 이쁩니다 사진에 모두 담아낼 수 없을 정도로요ㅎㅎ

도보로 이동하기엔 조금 무리라 혁명광장에서 버스를 타고 + 푸니쿨라까지 타야 올 수 있는 곳입니다.(푸니쿨라는 한 10초 운행한듯? 가깝지만 오르막...)

정말 가만히 석양을 보면서 2시간 동안 가만히 있었는데도 정말 좋았어요!! 날씨가 약간 쌀쌀해서 춥긴 했지만요ㅜ

시내에서 택시 타도 금방 도착하니 꼭 가보시길 추천드려요~~

8. 저녁 - 팔라우피시

하루종일 정말 많이 걸었으니 정말 배가 고팠습니다ㅜ 원래는 킹크랩으로 유명한 주마로 가려 했지만 멀기도 하고 평도 그닥이라, 원나잇푸드트립에서 테이가 방문한 팔라우 피시를 갔어요!! 너무 배가 고파 흡입하느라 제대로 찍은 사진 하나가 없네요ㅠㅠ 아쉽네..

가리비 모둠이랑 홍합 구이 그리고 발라져 나온 크랩(사진이 제대로 안찍혀서..)를 정말 배불리 먹고 한 3-4만원 나온거로 기억합니다.

가게도 한적하고 무엇보다 관광객은 많이 없는 느낌이었지만, 한국어 메뉴판은 여기도 있었습니다ㅋㅋㅋㅋㅋㅋㅋ

여기까지가 제가 두번째 날 들렸던 블라디보스톡의 이곳저곳입니다~~ 이렇게 정리를 하니 또 가고 싶은 곳이네요.

역시 사진보다 눈으로 직접 보는게 더 좋은거 같아요!!ㅠㅠ

모두들 행복한 여행 하세요^^ 

작년 추석 즈음에 충동적으로 혼자 떠났던 여행인 블라디보스톡, 벌써 시간은 어연 1년 가까이 흘렀네요ㅜ

블로그 포스팅을 해야지라는 생각만 하다가...더 이상 미루면 기억 속에서 흐릿해질것만 같아 지금이라도 포스팅을 해보려고 합니다~~

1. 비행편 : 시베리아 항공 S7

추석 가까이라 왕복 비행권은 좀 비싸게 갔다온 편인데요, 그 즈음엔 제주항공이 블라디보스톡 신규로 취항한 상태라 더 싸게 구한 사람들을 많이 봐서 배가 아팠던 기억이 납니다... 

제가 이용한 비행편은 4시 쯤 출발해서 오후 한시 정도에 돌아오는 비행편이었습니다. (4박5일)

참고로, 블라디보스톡의 대중교통은 일찍 끝나기 때문에 7시 15분에 도착하면 간당간당한 시간이었습니다.

저는 한인민박에서 운영하는 공항 픽업 서비스를 이용하였습니다. (인당 편도 550루블 정도로 기억이 나네요. 한화 18000원 정도)

2. 숙소 : Optimum Guest House

비행편을 조금 비싸게 구한 편이었기 때문에 숙소는 게스트하우스를 이용하기로 하였습니다. (본인은 숙소가 그리 중요하지 않은 성격임)

여자 전용 방이었고, 정원 8명이 이용하였습니다. 러시아 여성분 한분이 장기 투숙으로 이용하고 있었고, 한국인도 꽤 많이 이용하고 있었어요!! 방과 공용으로 사용하고 있는 샤워실의 청결 괜찮았습니다.

가격은 하루에 5천원 정도로 기억하고 있습니다. 타 한인 민박의 반 값 정도였으니까요..

숙소 위치 또한 혁명 광장 바로 옆이라서 정말 좋았습니다.(블라디보스톡의 모든 관광지는 도보로 이용가능함)

(사진 고자라... 양해 부탁드립니다ㅠㅠ)

3. 식사 : DAY1 저녁_수프라

블라디보스톡은 한국과 한시간 가량의 시차가 납니다.. 그래서 열시였지만!! 저녁을 먹기로 결정했습니다.

공항 픽업을 함께 이용했던 사람들과 수프라를 찾아갔어요. 

식당 분위기가 다 붉은 톤이라 음식이 되게 붉게 보이네요ㅠㅠ

수프라의 메인 메뉴인 힝깔라!!는 꼭 드셔보길 추천드려요! 저는 튀긴 힝깔라는 다 품절이라 못먹어봤는데 진짜 맛있데요ㅜㅜ

여기까지가 홀로 떠난 블라디보스톡 DAY1 입니다.

DAY2부터 진정한 여행이 시작되니 기대해주세요!!

SQL Injection문제입니다.  관리자의 패스워드를 알아야하는 문제군요.

스크린 샷을 찍지는 않았지만, 문제를 들어가보면 메뉴가 3개가 나와있습니다. 그 중 첫번째 메뉴를 클릭하면 URL상에 파라미터가 action=news&news_id=1 이 전송됩니다.

문제 이름이 numeric인 만큼 news_id 파라미터가 매우 의심이 가는데요, 

1. ?action=news&news_id=2-1 << 시도해보았습니다.

결과 ; 에러 출력 없이 첫번째 메뉴가 정상적으로 열람되는 것을 보아 정수형 SQL Injection이 가능하다는 판단을 내릴 수 있습니다.

2.  ?action=news&news_id=1' << 이번에는 SQL Injection의 기본 형태인 싱글쿼터(')를 삽입해보았습니다.

에러 메시지로 SQLite3 데이터 베이스를 사용하고 있다는 것을 알 수 있습니다. 또한, '가 \로 치환되어 인식이 안된다는 것도 알 수 있군요..

3. 필드 갯수 구하기 ?action=news&news_id=1 order by 1-- 

                          ?action=news&news_id=1 order by 2--

                                ?action=news&news_id=1 order by 3-- 
                                ?action=news&news_id=1 order by 4-- << 에러 출력

order by 구문을 이용하여 필드의 갯수가 3개 인 것을 알 수 있었습니다. (order by 4--를 시도하면 에러가 출력되기 때문입니다.)

※ order by 구문과 동일한 역할을 하는 것이 union all select 구문입니다.

?antion=news&news_id=1 union all select null;

?antion=news&news_id=1 union all select null, null;

?antion=news&news_id=1 union all select null, null, null;

?antion=news&news_id=1 union all select null, null, null, null; << 에러 출력

null 인자를 하나씩 추가하여 필드 갯수 파악이 가능합니다.

4. sql query 문을 이용한 스키마 정보 파악 ?action=news&news_id=1 union select 1, sql, 3 from sqlite_master--

에러 메시지를 통해 sqlite3 데이터베이스를 사용하고 있다는 것을 파악했고, 찾아보니 sqlite의 데이터베이스의 스키마를 sqlite_master 테이블에 저장하고 있다고 하네요.

union select 구문은 컬럼 갯수를 맞춰야 하므로 1, sql, 3 으로 설정해서 sql 필드 정보를 알아보았습니다.

※ sql 필드에는 데이터베이스 생성 시 사용된 스키마 정보 중 테이블을 생성하는 CREATE TABLE 구문이 저장되어 있습니다.

결과를 보니 저희에게 필요한 테이블은 users 테이블이고, username과 password 컬럼을 출력해주면 되겠군요!!

5. username, password 출력 ?action=news&news_id=1 union select username, password, 3 from users--

마지막 작업 입니다.

users 테이블에서 username과 password(year라는 컬럼이 하나 더 있으므로 3 추가) 해주면

결과가 출력되었습니다!!~~

admin의 패스워드가 flag 값입니다. 

너무 바빠서 오랜만에 포스트 하네요. 오늘은 Command Injection 입니다.

Start the challenge 버튼을 눌러 문제를 풀어봅시다.

루프백 아이피가 써있어서 제출을 눌러봤더니, 아무 동작을 하지 않습니다.

흠..일단 프록시 툴을 이용해봅시다.

제 PC에서만 그런건지? ip 인자 값이 널 값으로 전송되어 우선 루프백 아이피를 입력해서 전송해봅니다..

프록시 툴을 이용하니 정상적으로 결과값이 출력되네요~~

그렇다면 이번에는 Command Injection을 시도해봅니다.

; 기호가 리눅스 상에서는 명령어 2개를 연속으로 실행하는 아이이기 때문에 [아이피; 명령어] 를 삽입해봅니다.

오!! 해당 디렉토리에 있는 index.php 파일이 출력됬네요~ 

index.php 파일을 열면 뭐가 나올 것 같군요!@

[루프백 아이피; cat index.php] << 해당 명령어를 삽입하여 전송해보니!!

응답값으로 flag가 출력됬네요ㅎㅎ

HTTP 응답 값에서 관리자 페이지로 접근하는 정보를 찾는 문제입니다.

문제에 접속해보니 내용은 HTTP 응답 값만이 아니다?? 라는 이해할 수 없는 말이 적혀 있네요.

HTTP 헤더를 봐야하는 문제이니 프록시 툴로 인터셉트하여 살펴보겠습니다.

위는 Request, 요청하는 부분의 헤더 값이구요,

이것은 응답 값의 데이터입니다. 사실 여기에서 막혀서 몇일 고민했답니다.ㅎㅎ

Header-RootMe-Admin: none << 이 부분이 매우 의심스럽지 않나요?

none을 admin으로 바꾼다던가 등의 시행 착오 끝에 전체를 복사하여 Request의 헤더부분에 붙여보았습니다.

Admin 페이지에 접근됬네요!! 억울하게 쉬운 문제였습니다.ㅜㅜ

SQL injection 문제입니다. 관리자의 패스워드를 알아내라고 하네요.

문제에 접속하니 로그인 창이 뜨네요. 관리자의 패스워드를 알아내야 하므로 id에 admin, password는 가장 기본적인 sql 쿼리인 'or1=1-- 을 넣어주었습니다.

그랬더니 에러문이 출력되었습니다. or 1=1을 띄어주어야 하나 봅니다.

이번엔 id에 admin, password에 'or 1=1-- 을 넣어주었습니다. 그랬더니 admin의 패스워드가 아닌 user1의 패스워드가 출력되네요.

여기에선 sql injection 취약점이 존재한다는 사실을 알 수 있었습니다.

그래서 id 부분에 sql 쿼리문을 넣어보았습니다. 처음에는 admin'or 1=1-- 로 시도 하였더니 안되더라구요.

그래서 admin'or '1'='1 을 넣어보았습니다.

!!! admin의 패스워드가 출력되었어요! 하지만 마스킹 처리가 되어있네요. 당황하지 마시고 F12 개발자도구를 열어봅니다...

소스코드 상에는 패스워드가 평문으로 출력되어 있네요. 해당 값이 flag 값입니다.

서버 단에서 마스킹 처리를 한 후에 클라이언트 단으로 넘어와야 하는데,, 이 부분도 취약점으로 볼 수 있겠네요.

어쨌든 클리어!

Improper redirect 문제입니다. index 페이지에 접근하라고 하네요. 일단 문제 접속해봅시다.

문제를 열어보면 index.php가 아닌 login.php로 바로 리다이렉트되는 구조네요.

index.php에 접근해야하니 URL 상에 login.php?redirect 대신 index.php로 바꿔 전송해보았습니다.

하지만, login.php 화면으로 바로 리다이렉트 되네요.

때문에 저는 프록시 툴을 사용하였습니다. index.php로의 접근을 Burp Suite 툴을 이용해 조작하였죠.

그랬더니 브라우저 상에서는 보여지지 않았던 flag값을 볼 수 있었네요.

생각보다 어렵지 않은 문제였습니다.

Directory traversal 문제입니다. hidden section을 찾으라네요. traversal은 순회라는 뜻이라네요...

파일 업로드 문제에서 보았던 포토 갤러리가 보이구요, 여러 디렉토리가 보입니다.

또한, URL 상에 galerie 파라미터로 디렉토리 이름을 받고 있습니다.

처음에는 유추문제인줄 알고 admin, hidden 심지어 파일 업로드 문제에서 본 upload 폴더 까지 대입 시도를 해보았는데요,

실패하였습니다.

하지만, directory indexing에서 사용했던 디렉토리 리스팅 취약점을 이용해보았습니다.

galerie 파라미터 부분에 값을 지웠더니 숨겨진 디렉토리까지 모두 보여지네요!!!

디렉토리 명 끝 부분이 안보입니다. 조금 확대해서 보세요

해당 디렉토리에 접근하였더니 password.txt파일이 있는 것을 확인하였습니다. 

저는 바로 우클릭하여 이미지 주소 복사한 후 다른 창에서 열었습니다.

열면 바로 보이네요. 생각보다 쉬운 문제였습니다ㅠㅠ 왜 삽질한거죠..

Install files 문제입니다. 파일을 설치하라는 문제인가요? 참 난감했습니다. 일단 접속해봅시다.

아무것도 없습니다. 

그렇지만 가장 기본이 되는 소스보기를 클릭해봅시다.

ch6 하위에 phpbb 디렉토리가 있다?? 일단 따라가보죠.

root-me 로고만 나오고 여기도 아무 내용이 없습니다. 한참을 고민하다보니 문제 접속 페이지에서 You Know phpBB? 라는 문구가 눈에 띄네요.

일단 검색하였습니다.

phpbb란 전자 게시판 프로그램이었습니다. php 언어로 작성되었고, MySQL, PostgreSQL 데이터베이스를 사용한다고 하네요.

여기서 고민이 시작되었습니다.

문제가 Install files니까 phpBB 프로그램을 설치하라는 건가?

우선은 phpbb 설치법을 검색하였습니다.

그러던 중 /phpbb 폴더 아래에 있는 install 폴더를 깨끗하게 삭제하라는 말이 보였습니다. 

참고 : [http://www.phpbbkorea.com/viewtopic.php?t=2295]

오 매우 찝찝한 부분이군요!!

타다~~ install 관련 파일이 나왔어요!!

이게 phpbb 취약점이라고 하네요

flag 값은 install.php를 열면 나온답니다^^

File Inclusion 문제입니다. 처음엔 file inclusion이라해서 감이 안왔는데 검색을 좀 해보니 파일 다운로드와 비슷한 유형이더라구요.

해당 취약점을 이용하여 admin section에 접근하면 되는군요.

그럼 시작하겠습니다.

문제에 접속해보면 여러 카테고리 밑에 파일들이 존재해 있었습니다.

URL을 자세히 보시면 files가 카테고리고 f가 파일 이름이겠네요.

저는 우선 files= 파라미터만 남기고 뒷 부분을 지워보았는데요, 카테고리가 쭉 나열되더라구요.

그래서 상위폴더로 이동하는 특수문자 "../"을 넣어봤더니 admin 디렉토리가 나왔네요.

admin 디렉토리 하위에는 index.php 파일이 있구요, 이 소스파일안에서 flag 값을 찾을 수 있었습니다!!!