NGA

WARGAME(14)

Los.rubiya.kr All Clear
WARGAME/ETC 2020. 8. 20. 00:11

Websec.fr All Clear
WARGAME/ETC 2020. 8. 20. 00:05

Root-Me/ XPath injection - Blind

문제를 해결하기 위해서는 admin의 password를 알아내야 한다. Members로 들어가게 되면 John 이 admin 인걸 확인할 수 있다. 그리고 특정 Username을 클릭하게 되면 profile을 보여주고 메시지를 보내는 기능이 존재하는데 기능은 작동하지 않는 거 같다. userid 값을 문자나 큰 수로 변경해주게 되면 XPath error라고 XPath의 구문을 보여주게 된다. 이제 XPath injection 이 가능한 부분을 찾았고 exploit 하면 된다. John의 password를 뽑기 위해 password 노드의 이름을 알아내야 한다. ?action=user&userid=2 and pass XPath error ?action=user&userid=2 and pw XPath err..
WARGAME/ROOT-ME 2019. 7. 17. 12:31

los.rubiya.kr/golem

PW에 or, and, substr(, = 등이 필터링이 되어있다. 그리고 쿼리의 결과값이 admin이여야 하고 admin의 PW도 일치 해야 한다. 먼저 PW쪽 파라미터를 통해서 쿼리 결과값의 ID값을 admin으로 만들어 출력하고 그 후에 Blind SQL Injection을 통해서 PW 까지 같이 뽑아오면 된다. ID값을 admin으로 만들어 보자. pw='||id like 'admin'# pw='||id in ('admin')# = like in 이 필터링 되었을 때 >,'21232f297a57a5a743894a0e4a801fc2'&&md5(id)= 1: query="pw=%27||id+like+'admin'%26%26ascii(mid(pw,{},..
WARGAME/LOS 2018. 12. 28. 14:08

los.rubiya.kr/skeleton

이번 문제는 PW만 입력이 가능하고 쿼리의 결과값을 출력해주지 않는다. 그리고 쿼리 결과값이 admin이면 문제가 해결된다. 딱히 필터가 없기에 기본적인 쿼리를 통해 문제가 해결된다. 풀이 pw='||id='admin'#pw=' union select 'admin'#..
WARGAME/LOS 2018. 12. 28. 13:19

los.rubiya.kr/vampire

이 문제는 쿼리의 결과가 "admin" 이여야 문제가 해결된다. SQL 쿼리를 봤을 때 id 값만 받음으로 ' id 값에 admin 이라는 값을 전달하거나 '(quote) 를 이용해 해결하면 되겠다. ' 라는 생각이 들게 될 것이다. 하지만 '(quote) 가 필터링이 되어 있고 GET 으로 받는 id 파라미터에 문자열을 소문자로 교체 그리고 "admin" 이라는 값이 존재하게 된다면 "admin" 이라는 문자열을 NULL 값으로 바꿔버리게 된다. 우리는 가장 마지막 필터인 "admin" 을 NULL 로 대체시키는 쪽을 봐야한다. 간단하게 예를 들자면 우리가 id 값에 "headminllo" 라는 값을 넣게 되면 필터링 된 후에 "hello" 라는 쿼리로 변해서 가게 될 것이다.이것을 이용해서 "admi..
WARGAME/LOS 2018. 12. 24. 01:28

los.rubiya.kr/troll

문제를 살펴보면 $_GET['id'] 에 ' 가 필터링이 되어있고 ereg 라는 함수로 admin 이라는 값이 들어오면 HeHe 라고 출력을 하고 종료가 된다. ereg 함수는 패턴이 일치하는지 찾아주는 함수인데 대문자 구분을 하지않는다. ereg 앞에 붙은 @는 "error 를 출력하지 않겠다." 라는 표시이다. 풀이 select id from prob_troll where id='Admin' 끄읐
WARGAME/LOS 2018. 11. 15. 01:30

los.rubiya.kr/orge

문제를 보아하니 pw 를 추출해야하는 Blind SQL Injection 문제이다. 여기서 특별히 보이는 것은 addslashes 라는 함수인데 이 함수는 ' " \ 등의 문자에 \ 를 붙여 escape 해주는 함수이다. 이렇게 되면 우리는 ' " \ 와 같은 문자에 \' \" \\ 처럼 escape 가 된다. 하지만 문제상에서 addslashes 함수는 처음 Hello 결과 id 를 뽑은 후에 사용이 되니 그냥 공격을 해도 상관이 없을거 같다. 나중에 addslashes 함수를 만났을 때 우회하는 방법이 있는데 문자셋이 멀티바이트여야 가능한 우회방법이다. ' " \ 를 쓰기 전에 %a1 ~ %fe 중에 문자를 하나 넣어주면 %a1\ 가 합쳐져 이상한 문자가 되고 ' " \ 는 그대로 나오게 된다. 아 ..
WARGAME/LOS 2018. 11. 15. 01:17

los.rubiya.kr/darkelf

query 의 결과가 admin 이면 문제가 해결된다. $_GET['pw'] 에 필터로 or 과 and 가 필터링 되어있다. 이 문제 역시 or 과 and 를 안쓰고 풀이가 가능하지만 or 과 and 가 필요할 때를 위해서 알아보자. or => || and => && 풀이 select id from prob_darkelf where id='guest' and pw=''||id='admin'%23 select id from prob_darkelf where id='guest' and pw='' union select 'admin'%23 끝
WARGAME/LOS 2018. 11. 15. 00:46

los.rubiya.kr/wolfman

query 의 결과가 admin 이기만 하면 된다. $_GET['pw'] 에 whitespace 를 필터링 했지만 굳이 없어도 문제는 풀 수 있다. 하지만 필요할 경우를 대비해 알아보자 ^^ whitespace( ) 우회 방법 Line Feed %0a Carrage Return %0d Comment /**/ => 1/**/and/**/1 parentheses () (1)and(1) plus character + 사실상 whitespace 랑 똑같이 취급됨. Tab %09 풀이 select id from prob_wolfman where id='guest' and pw=''||id='admin'%23 select id from prob_wolfman where id='guest' and pw=''/**/o..
WARGAME/LOS 2018. 11. 15. 00:34
1 2

티스토리툴바